Ciberseguridad

DANE como base para la transmisión de datos segura

DANE con DNSSEC garantiza que su correo electrónico llegue de manera segura y a la persona adecuada.

En Alemania hay un dicho que dice que la vida es mucho más fácil cuando ya no tienes una buena reputación que perder. Para individuos privados, eso puede aplicarse al menos parcialmente. Sin embargo, las compañías de pedidos por correo, los proveedores de servicios o la industria bancaria viven en gran parte de su buena reputación y, por lo tanto, también están ansiosos por mantener o mejorar su buena imagen en Internet. Pero si los clientes son víctimas de un llamado ataque «man in the middle (hombre en el medio)«, la buena reputación desaparece rápidamente. En un ataque de “man in the middle”, el atacante se coloca entre el cliente y el proveedor y pretende ser el proveedor. Tal ataque también es posible en la dirección contraria.

Para ilustrar, aquí hay un ejemplo: supongamos que usted es un comerciante de pedidos por correo en línea y envía automáticamente correos de transacciones, como facturas y confirmaciones de pedidos. Ahora estos se pasan a manos de un «man in the middle«. La factura nunca llega a su cliente y usted ni siquiera lo nota. Por supuesto, tampoco recibe dinero porque el cliente no ha recibido una factura. ¿Que pasa? Usted envía un recordatorio. Un recordatorio sin una factura previa causa molestia y pérdida de confianza en el cliente: desde una perspectiva de marketing, un desastre.

Pero las cosas pueden empeorar aún más: si se produce un ataque con exito, los datos confidenciales de su cliente, como la dirección, los datos bancarios y los hábitos de compra, llegarán a manos de personas no autorizadas. Para las compañías de seguros, las compañías de seguros de salud, los bancos o incluso los sitios de citas, esto problema es particularmente grave, ya que aquí los datos de los clientes son altamente sensibles.

Consecuencias sensibles

La protección de los datos de sus clientes es una prioridad principal no solo para usted, sino también para el proveedor de servicios de correo electrónico que hace envios en nombre de Usted. El artículo 33 del Reglamento Europeo de Protección de Datos General (GDPR) estipula lo que sucede cuando se produce una violación de datos personales: en este caso, el responsable (aquí la empresa de comercialización) debe comunicar la violación de la protección de datos a la autoridad de supervisión (a Autoridades Estatales de Protección de Datos) y además, debe informar a la persona sobre la infracción cuyos datos están en juego, en las condiciones del Artículo 34 GDPR.

Entonces, no solo su reputación está en peligro, esto también conlleva consecuencias financieras. Si la persona o el proveedor encargado por Usted (en este caso el proveedor de servicios de correo electrónico) cometa una infracción de datos personales de conformidad con el artículo 58 del GDPR, los supervisores harán valer sus poderes de investigación, corrección y sanción a la (s) persona (s) responsable (s) de la infracción de datos personales. En el peor de los casos, esto puede incluso resultar en una prohibición final sobre el procesamiento de dichos datos, lo que en efecto significa una prohibición de hacer negocios. Addicionalmente, o alternativamente, de acuerdo con el artículo 83 GDPR, se sancionan con multas sustanciales de hasta 20 millones de euros o el 4% de la facturación anual total. El ejemplo más reciente es que la British Data Protection Authority (ICO) impuso una multa de 205 millones de euros a British Airways después de que extraños hubieran accedido a los datos de los clientes de la aerolínea.

El hecho es que: no es suficiente asegurar su propio servidor de la mejor manera posible, debido a que un “man in the middle” puede utilizar el punto débil en el transporte de un correo electrónico de A a B. Para cumplir con los requisitos del Artículo 5, párrafo 1 f, y para garantizar la seguridad adecuada de los datos personales, debe proteger los datos confidenciales de los clientes mediante DNSSEC y DANE.

¿Qué son DNSSEC y DANE?

DANE (Autenticación basada en DNS de entidades con nombre) es un método de prueba que asegura el establecimiento de una conexión cifrada entre un cliente y un servidor. A través de una sincronización de certificados (registro TLSA), los socios de comunicación que utilizan DANE bloquean la debilidad conceptual de SSL / TLS, donde un tercero podría pretender ser el «servidor correcto» y hacer que el cliente transfiera sus datos al «error correcto«. El requisito previo para el uso de DANE es Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que garantiza que las características de prueba transmitidas por DNS son verificables. Porque incluso aquí, los atacantes podrían inyectar información falsa en el DNS y llevar al cliente al error.

Y así es como funciona:

¿Cómo es un transporte de correo típico con DANE? Si es así, usted, como minorista en línea, envía un correo electrónico a un cliente con una cuenta de correo electrónico en example. Entonces se ve así:

Su servidor de correo determina el servidor de correo responsable del dominio del destinatario. También verifica si el servidor DNS ofrece el dominio receptor DNSSEC.
• Si el servidor DNS ofrece DNSSEC, su servidor de correo comprueba si hay un registro TLSA para el dominio del destinatario.
• Luego, su servidor de correo establece una conexión con el servidor de correo del dominio del destinatario. Si esto no proporciona STARTTLS para el cifrado de la conexión, su servidor de correo se cancela de inmediato, ya que existe la sospecha de un ataque degradado en la sala.
• Si el servidor de destino ofrece STARTTLS, su servidor de correo inicia una conexión cifrada TLS. Al hacerlo, compara la suma de comprobación del certificado del servidor de destino con la información de TLSA que recibió a través de DNSSEC.
• Si los totales coinciden, se verifica el servidor de destino. Si los totales no coinciden, un cliente habilitado para DANE abortará inmediatamente debido a un presunto ataque «man in the middle «. Los clientes tradicionales ahora continúan enviando información confiada y enviando datos a un destino que no es de confianza.

Hasta ahora, tan seguro. Para que DANE funcione con DNSSEC, tanto DANE como DNSSEC deben configurarse en el servidor de correo del comerciante en línea. Si se utiliza un proveedor de servicios de correo electrónico para el envío, la plataforma de correo debe extenderse para que las consultas de DNS también verifiquen la funcionalidad de DNSSEC y utilicen sus capacidades de verificación.

Los fundamentos se han dado desde hace mucho tiempo. «DNSSEC es un proceso maduro que se ha mantenido estable durante años«, dice Patrick Koetter (líder del grupo de competencia de los grupos «Anti-Abuse» y «e-mail» de eco – Verband der Internetetwirtschaft e.V.). «La experiencia práctica en grandes plataformas y mediciones de ISP muestra que las preocupaciones de algunos administradores son técnicamente insostenibles«.

Teniendo en cuenta las consecuencias financieras y la pérdida de reputación que puede conllevar un ataque de baja calificación y / o un ataque «man in the middle», vale la pena el esfuerzo de una sola vez para activar DANE y DNSSEC. Proporcionan la única forma automatizada y rentable de asegurar una transferencia de datos verdaderamente segura entre los servidores de correo electrónico.

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

Cómo mejorar la seguridad de la identidad en el sector financiero

Actualidad, Security Breaches

La Dark Web muestra que los ciberdelincuentes ya están preparados para los Juegos Olímpicos

#CyberConsejos

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks