3 jul. 2009

SPF: ¿Porqué lo ignoran los bancos y entidades gubernamentales?

Si bien siempre hay lugar y necesidad para la innovación tecnológica, no deja de sorprender la baja utilización de la tecnología existente (SPF) para disminuir la posibilidad de éxito de algunos tipos de ataques, en este caso me refiero al phishing.

En un artículo de ayer (Banca, Phishing y SPF), Chema Alonso aborda este problema en el caso de los bancos en España que al parecer pocos han implementado un registro SPF en el DNS que maneja su dominio en Internet.

El registro SPF (Sender Policy Framewok) de un dominio de correo, es una sencilla herramienta con la cual un servidor de correo, preparado para esta verificación, puede determinar si un correo es auténtico, si proviene del servidor de correo autorizado o no. (Vea ¿Qué es el SPF?)

Tomando la sugerencia final de Chema "Haz una prueba con el DNS de tu banco..." decidimos en Segu-info hacer una pequeña revisión de la situación en Argentina, tomando una muestra de los principales bancos, tarjetas y organismos. Precisamente de este tipo de organizaciones son de las cuales nos quieren hacer creer que vienen por correo electrónico pedidos de confirmación o envio de datos sensibles tales como nuestro número de tarjeta de crédito, contraseña de e-banking, tarjeta de coordenadas u otros; ese tipo de engaños que se denominan "phishing".

El resultado de la verificación de dominios con SPF puede verse en esta tabla a modo de resumen:

Esta situación, a nuestro juicio, es poco responsable y criticable. Si bien SPF no es la solución perfecta, mejora bastante la capacidad de rechazar correo falso. Algo que no cuesta más que un llamado telefónico o el envío de un correo al administrador del DNS de la institución bancaria, y no sea utilizado por los bancos y organismos no admite más demoras.

¿De que sirve desarrollar tecnología si no se la utiliza y se le saca el mayor provecho? Algo tan sencillo como SPF diseñado para prevenir el spam y con ello también una cantidad importante de fraudes, engaños y otras maldades, apenas es aprovechado en todo su potencial.

Sería interesante que las autoridades que establecen la normativa en el ámbito de entidades financieras dispusiera la necesidad de uso de SPF (o DomainKeys si prefieren) y de la misma forma en los organismos gubernamentales.

Raúl de la redacción de Segu-info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!