Nuevos estándares establecidos para remodelar el futuro de la seguridad del correo electrónico



Se espera que las especificaciones y protocolos emergentes hagan que el very simple acto de abrir un correo electrónico sea una propuesta menos arriesgada

El correo electrónico es uno de los medios de comunicación más exitosos jamás inventados, y su alcance continúa creciendo. Se envían casi 300 mil millones de correos electrónicos a todo el mundo todos los días, y el número de usuarios en todo el mundo continúa creciendo a una tasa del 3% anual. Para 2020 habrá 4 mil millones de usuarios activos de correo electrónico, más de la mitad de la población del planeta, según el grupo Radicati, que rastrea el uso del correo electrónico en todo el mundo.

Desafortunadamente, el correo electrónico no está preparado para las amenazas de hoy, porque fue diseñado hace casi 40 años cuando su eventual alcance international y los desafíos de seguridad eran inimaginables. Las décadas de trabajo de la industria del correo electrónico han contenido en gran medida el correo no deseado, pero el phishing y el malware basado en el correo electrónico siguen siendo amenazas enormes, con el correo electrónico involucrado en más del 90% de todos los ataques cibernéticos, según diversas estimaciones. Las vulnerabilidades de correo electrónico incluso han desempeñado un papel disruptivo en las elecciones, como en el ataque de 2016 del correo electrónico del Comité Nacional Demócrata (hecho a través del correo electrónico de phishing) y en los ataques de 2018 contra funcionarios electorales de Florida.

Es por eso que los expertos en correo electrónico están ocupados desarrollando estándares destinados a abordar la debilidad más evidente: que cualquiera puede enviar correos electrónicos como cualquier otra persona. Esta falta de un modelo fuerte de identidad del remitente ha creado una epidemia de suplantación de identidad que no existe a través de otras aplicaciones de mensajería que tienen fuertes controles de identidad del remitente. En otras palabras, cuando recibe un mensaje de Facebook, un mensaje de WhatsApp o un DM de Twitter, puede estar bastante seguro de quién es realmente el remitente. Pero no hay tales garantías en el correo electrónico, y es por eso que se envían 6,4 mil millones de correos electrónicos falsos todos los días, según un informe de investigación de Valimail.

Con protecciones de identidad del remitente más fuertes, podemos eliminar estas falsificaciones. El correo electrónico será más confiable y estará en mejores condiciones para admitir capacidades avanzadas. Y eso es exactamente en lo que se centran una variedad de grupos de estándares. El estándar de oro para una fuerte identidad del remitente en el correo electrónico es DMARC, y los estándares que configuran el futuro del correo electrónico lo requieren cada vez más. Estos son algunos de los nuevos estándares de correo electrónico que mejoran la identidad y la seguridad del remitente para todo el ecosistema.

DMARC 2.
Autenticación de mensajes basada en dominio, informes y conformidad ha sido un estándar no oficial pero ampliamente aceptado desde 2015. Proporciona una forma para que los propietarios de dominios controlen qué remitentes pueden enviar correos electrónicos utilizando su dominio. DMARC es aceptado y aplicado por aproximadamente el 80% de las bandejas de entrada de correo electrónico del mundo, ha crecido exponencialmente entre los propietarios de dominios, y el Grupo de trabajo de ingeniería de World-wide-web (IETF) está trabajando para convertirlo en un estándar oficial. Es demasiado pronto para saber exactamente qué incluirá la próxima versión de DMARC, pero es seguro decir que se está convirtiendo rápidamente en parte de las mejores prácticas básicas de seguridad, junto con firewalls y cifrado SSL / TLS en sitios world-wide-web.

BIMI
Indicadores de marca para la identificación de mensajes es una forma para que las marcas especifiquen imágenes que aparecen junto con los mensajes de correo electrónico autenticados que envían. Una vez que sus dominios se autentican con DMARC (con una política de cumplimiento), obtienen la capacidad de mostrar logotipos con sus mensajes en lugar de los avatares predeterminados que muestran la mayoría de las bandejas de entrada. Verizon Media ya está ejecutando un piloto de BIMI en Yahoo Mail, y Google planea ejecutar su propio piloto en 2020. La oferta de BIMI de impresiones de marca es un gran incentivo para los vendedores, lo que impulsará a muchas organizaciones a implementar DMARC para obtener ese beneficio. – y un uso más amplio de DMARC significará un correo electrónico más confiable en general para todos.

AMP para correo electrónico
AMP es un marco para acelerar los tiempos de carga de la página web. AMP para correo electrónico crea la posibilidad de crear aplicaciones interactivas en AMP que viven directamente dentro de la bandeja de entrada, sin necesidad de que los usuarios hagan clic en una página web separada. Incluye disposiciones para autenticar a los remitentes y encriptar datos en tránsito, lo que debería aliviar las preocupaciones de seguridad, al tiempo que abre una amplia gama de posibilidades para el diseño de aplicaciones basadas en correo electrónico.

Schema.org para correo electrónico
Schema.org es un proyecto colaborativo y descentralizado que crea «esquemas» de datos para diferentes tipos de datos estructurados, como listados informativos para personas, lugares y empresas calendario de eventos objetos de audio y video libros e incluso recetas. Estos marcos de metadatos livianos crean una línea base común para que las aplicaciones ingieran y usen estos datos. En el correo electrónico, los datos codificados por Schema.org pueden simplificar las integraciones: por ejemplo, si recibe una confirmación de pedido de un minorista, un correo electrónico con formato Schema.org podría contener información actualizada dinámicamente sobre el progreso de su envío.

STARTTLS y MTA-STS
STARTTLS es un protocolo de seguridad de correo electrónico que permite a los clientes y servidores de correo electrónico intercambiar datos en forma cifrada, utilizando TLS (Seguridad de la capa de transporte) o SSL (Capa de sockets seguros) si están disponibles. Esto es related a HTTPS para páginas world-wide-web: garantiza que los mensajes se cifren en tránsito. MTA Demanding Transportation Stability (MTA-STS) es un estándar relacionado que lleva esto un paso más allá y puede requerir comprobaciones de autenticación y cifrado para las conexiones entre servidores de correo, lo que ayuda a evitar que se transmitan datos no cifrados y frustra el hombre en el- ataques medios En combinación con DMARC, que asegura que la identidad del remitente es legítima, estos dos protocolos mejoran aún más la seguridad de la «tubería oculta» que hace que el correo electrónico funcione.

A medida que estos estándares ganen aceptación, con una identidad de remitente sólida y ampliamente implementada, el correo electrónico será más interactivo y más seguro para todos los usuarios. Ya es un canal de comunicaciones very important para más de la mitad del planeta, se convertirá en una plataforma aún más atractiva y ubicua para las comunicaciones B2B y B2C, y muchos de los problemas que enfrentamos actualmente con phishing y BEC se desvanecerán.

Eso no será fácil. Se necesitará mucho esfuerzo por parte de muchas organizaciones e individuos diferentes. Pero se han sentado las bases y los beneficios serán inmensos, por lo que hay muchas razones para pensar que el correo electrónico continuará mejorando y creciendo. El correo electrónico no desaparecerá. Solo va a potenciar experiencias más ricas y crecer y mejorar a través del proceso.

Contenido relacionado:

Seth Blank es el presidente del grupo de trabajo que desarrolla BIMI, el secretario del grupo de trabajo IETF que desarrolla DMARC y un colaborador activo de muchos grupos de la industria del correo electrónico. Es el director de iniciativas de la industria en Valimail. Ver biografía completa

Más strategies





Enlace a la noticia initial