En el panorama del cibercrimen, lo que antes requería tiempo, investigación y esfuerzo humano ahora puede ser automatizado, escalado y optimizado con una enorme facilidad gracias a la IA generativa. Este cambio es más evidente y peligroso en ataques de suplantación de identidad basados en correo electrónico y en el auge de dominios similares, por lo que las organizaciones necesitan una estrategia de seguridad que empiece con una aplicación sólida de DMARC (Domain-based Message Authentication, Reporting & Conformance), según la empresa de ciberseguridad y cumplimiento normativo Proofpoint.

Cómo es la protección de DMARC

DMARC es un protocolo de autenticación de email basado en SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Estos controles permiten a los propietarios de dominios:

• Verificar que un correo electrónico que afirma provenir de su dominio está autorizado y criptográficamente intacto.
• Especificar cómo deben manejar los servidores de correo receptores los mensajes que no pasan las comprobaciones de autenticación.
• Obtener visibilidad de todas las fuentes que envían correo electrónico en su nombre.
• Recopilar muestras de mensajes que fallen la autenticación para ayudar a diferenciar las fuentes legítimas del tráfico suplantado.

El repunte de un phishing aún más convincente

Las barreras de entrada para los atacantes se han reducido, sin embargo, considerablemente con la IA generativa, ya que les permite crear emails de phishing y compromiso empresarial altamente convincentes a una velocidad y un volumen sin precedentes. Son textos profesionales adaptados al tono de las marcas, sus ejecutivos, empleados o socios, adaptados a partir de la información disponible en sitios web, perfiles de LinkedIn y comunicados de prensa.

Algunas herramientas emergentes como es el caso del vibe coding, en el que se describe a la IA lo que se quiere hacer para que esta genere y ejecute el código, ayudan a los atacantes a generar rápidamente sitios web de phishing realistas diseñados para recolectar credenciales o distribuir malware, sin necesidad de experiencia en desarrollo. Otras soluciones de IA hacen posible también crear grandes listas de variaciones de dominio cercanas a la marca en segundos, seleccionar las que tienen más probabilidades de engañar, elaborar contenido de phishing que coincida con el tema del dominio falso y automatizar pruebas para elegir las variantes que obtienen la mayor participación de las víctimas.

El reto de los dominios similares

Debido a que los dominios similares son propiedad del atacante, eluden por completo los controles de autenticación como SPF, DKIM y DMARC, lo que hace que la detección y la eliminación sean mucho más desafiantes. Aun así, los atacantes necesitan dominios de confianza para que sus mensajes sean creíbles, y DMARC apunta directamente a esa dependencia. Para Proofpoint, su aplicación es especialmente crítica hoy por la escalada de ciberamenazas impulsada por la IA, la erosión de la confianza en las marcas legítimas y las expectativas crecientes en DMARC como control básico por reguladores, socios y proveedores.

“Sin una política DMARC sólida, las organizaciones dejan sus dominios abiertos a posibles abusos de atacantes que van a usar la identidad de una marca como un arma a gran escala”, afirman los investigadores de Proofpoint. “DMARC, no obstante, es solo la base, ya que por sí solo no puede detener dominios similares, lo que requiere mayores capacidades de visibilidad, inteligencia y aplicación. DMARC detiene la suplantación de dominio exacto antes de que entren en juego el filtrado de contenido, la capacitación del usuario o la detección con IA”.