A falta de poco más de tres meses para la inauguración de los Juegos Olímpicos de París 2024, que se celebrarán del 26 de julio al 11 de agosto, Proofpoint ha desvelado un estudio que arroja unos resultados preocupantes relacionados con la ciberseguridad del evento.
La investigación, llevada a cabo el pasado mes de marzo, se centró en evaluar el estado actual de las defensas contra el riesgo de suplantación de identidad de las entidades y organizaciones que conforman el ecosistema de los Juegos Olímpicos de París, constatando que debe reforzarse para hacer frente a la ciberamenaza ya generalizada del fraude por correo electrónico como principal vector de ataque, según advierten los expertos en ciberseguridad.
Proofpoint ha puesto bajo la lupa a los partners oficiales de los Juegos Olímpicos 2024, a las autoridades locales de las ciudades que acogen las distintas competiciones deportivas, así como las 10 principales plataformas de venta de entradas y las 10 principales páginas web de viajes de Francia. Para determinar su grado de protección ante el riesgo de suplantación de identidad, analizó sus niveles de adopción de DMARC (Autenticación de Mensajes Basada en Dominios, Informes y Conformidad), un protocolo de autenticación de correo electrónico diseñado para proteger los nombres de dominio del uso indebido por parte de los ciberdelincuentes.
La implementación de DMARC permite a una organización definir qué tratamiento debe aplicarse a los mensajes de correo electrónico que utilicen su nombre de dominio, así como la política que debe aplicarse en caso de fallo durante la verificación: aceptar el mensaje de correo electrónico (política "ninguno"), categorizarlo como spam (política de cuarentena) o eliminarlo (política de rechazar).
Principales conclusiones
La empresa de ciberseguridad examinó un total de 143 nombres de dominio y ha extraído dos principales conclusiones. La primera, que dos tercios (66%) de los partners oficiales de los Juegos Olímpicos de París 2024 no cuentan con las medidas de seguridad necesarias para protegerse de la suplantación de dominios, exponiendo al público a un riesgo de fraude por correo electrónico. Y la segunda, que la mayoría de las autoridades locales que acogen este evento (70%), las principales plataformas de venta de entradas online (90%) y las páginas web de viajes (40%) no bloquean de forma proactiva los emails fraudulentos que podrían llegar a los usuarios.
Estos son los principales resultados sobre las dos grandes conclusiones del estudio.
- Entre los 77 colaboradores oficiales de este gran evento deportivo, 66 de ellos (86%) han adoptado DMARC en su nivel básico y sólo 26 (34%) protegen activamente su nombre de dominio con el registro DMARC más alto de "rechazo". Esto significa que dos tercios (66%) exponen al público al riesgo de fraude por correo electrónico.
- Por otro lado, de las veinte ciudades que acogen los Juegos Olímpicos de este verano, únicamente 6 (30%) protegen activamente el nombre de dominio de su sitio web oficial con el registro DMARC más estricto, mientras que 5 (25%) no tienen implantado ninguna política DMARC.
- Por su parte, de las 10 plataformas de reventa de billetes analizadas, 8 (80%) disponen de un registro DMARC y nada más que una (10%) protege activamente su dominio en modo "rechazo".
- Por último, las 10 plataformas de viajes examinadas son las más maduras en cuanto a defensas contra el riesgo de suplantación de dominio: 6 (60%) protegen activamente su nombre de dominio de manera estricta y el 90% ha implementado al menos un registro DMARC básico.
En palabras de Loïc Guézo, director de estrategia de ciberseguridad de Proofpoint: "Resulta preocupante ver que la mayoría de los actores del ecosistema de los Juegos Olímpicos siguen rezagados en lo que respecta a la protección de sus correos electrónicos, a pocos meses del inicio de la ceremonia de apertura. DMARC es una medida sencilla de implementar y muy eficaz contra la suplantación de nombres de dominio, que sustenta el fraude por correo electrónico. El hecho de que muchas organizaciones aún no tengan implantado este protocolo hace temer el advenimiento de una ciberamenaza de proporciones sin precedentes".
"Además, es importante que los posibles espectadores de este evento recuerden que las entradas sólo pueden adquirirse a través de la web oficial de los Juegos, que es totalmente compatible con DMARC y bloquea proactivamente los correos electrónicos fraudulentos para que no lleguen a los usuarios", prosigue Guézo.
Recomendaciones de ciberseguridad para el público
Además de instar a las organizaciones a poner en marcha "medidas contundentes" para proteger a las personas, Proofpoint advierte que estas también deben extremar la vigilancia, especialmente en vísperas de los Juegos, y tener en cuenta las siguientes recomendaciones:
- Desconfiar de correos electrónicos, mensajes de texto o llamadas no solicitados, sobre todo si sugieren tomar medidas "urgentes" o piden algún pago.
- No facilitar nunca información financiera o contraseñas por correo electrónico o mensaje de texto. Llamar siempre directamente al banco si una solicitud parece sospechosa.
- Crear una contraseña única para cada cuenta online. Utilizar tres palabras aleatorias para generar una clave sólida y memorable, además de activar la autenticación multifactor (MFA) cuando sea posible.