El 64% de los consumidores españoles prevé gastar más que el año pasado1, lo que hace de este periodo de compras una oportunidad perfecta para que los ciberdelincuentes envíen ataques de phishing u otros esquemas fraudulentos, aprovechando la búsqueda de productos a través de internet y el aumento de las comunicaciones por correo electrónico de las marcas.
Desde el punto de vista de la ciberdefensa, DMARC2 (Domain-based Message Authentication, Reporting and Conformance) es un protocolo de validación del correo electrónico que protege los nombres de dominio contra el uso indebido por parte de ciberdelincuentes. Al analizar la adopción de DMARC de los 30 principales sitios de ecommerce en España, pueden conocerse los niveles de protección3 (monitorización, cuarentena o rechazo) con los que cuentan para autenticar la identidad del remitente y evitar que los emails sospechosos lleguen a los usuarios.
Estos son los principales hallazgos de la investigación de Proofpoint:
· El 100% de las 30 páginas web principales de comercio electrónico en España ha publicado un registro DMARC.
· 20 de 30 (67%) tienen el nivel de protección “rechazo” de DMARC, el más estricto y recomendado, porque bloquea activamente los correos electrónicos fraudulentos antes de que lleguen a sus destinatarios.
· Por tanto, el 33% restante está dejando a los consumidores expuestos al fraude por correo electrónico en caso de que hubiese una suplantación de dominios.
· Sólo 7 de estos sitios (23%) ponen los mensajes en cuarentena al no superar la autenticación DMARC, moviéndolos a la carpeta de spam.
“Esto demuestra cómo las personas tienen un papel muy importante en la defensa contra el fraude por correo electrónico, porque sus acciones pueden suponer una vulnerabilidad significativa para las organizaciones”, explica Fernando Anaya, country manager de Proofpoint para España y Portugal. “Frente al uso indebido de dominios, contamos con DMARC como la única tecnología que puede dar una protección adecuada, eliminando también los riesgos de suplantación de sitios web y de identidades. El cumplimiento completo de DMARC permitirá a las organizaciones evitar que los emails maliciosos lleguen a las bandejas de entrada y mitigar el riesgo del factor humano”.
Proofpoint recomienda a los consumidores que sigan los siguientes consejos en esta temporada de compras:
· Para garantizar la seguridad de las cuentas, es fundamental que nunca se reutilice la misma contraseña en distintas plataformas. Asimismo, un gestor de contraseñas ayuda a crear y almacenar claves únicas y robustas, lo que permite a los usuarios simplificar su experiencia online sin comprometer su seguridad. Adicionalmente, se recomienda activar la autenticación multifactor para añadir una capa de protección crítica.
· Mantenerse en alerta ante posibles páginas web fraudulentas que imitan marcas conocidas, ya que en estos sitios pueden venderse productos falsificados o inexistentes, distribuir malware o intentar robar dinero y datos personales.
· Prestar atención a cualquier correo electrónico de phishing que dirija a sitios web inseguros para recopilar datos personales, como credenciales de acceso y datos de tarjetas de crédito. También, hay que tener cuidado con el smishing, que llega a través de mensajes en redes sociales con peticiones de dudosa fiabilidad o inesperadas.
· En vez de hacer clic en enlaces, es preferible escribir manualmente la dirección de la web en el navegador para acceder a cualquier oferta anunciada o producto. Asimismo, si se quiere usar algún código promocional, debe introducirse durante el proceso de compra para confirmar su autenticidad.
· Los anuncios, las páginas web y las aplicaciones móviles fraudulentos pueden resultar muy convincentes, de ahí que haya que comprobar su legitimidad antes de hacer una compra o incluso iniciar cualquier descarga previa o visitar el sitio. Por eso, conviene tomarse un tiempo para leer reseñas o comentarios para verificar si existen quejas previas de otros usuarios sobre estos mismos servicios.
1 Informe 'Consumo en el golden quarter 2025', elaborado por KPMG y Appinio.
2 ¿Qué es DMARC?
3 Monitorización: los correos electrónicos no cualificados van a la bandeja de entrada del destinatario. Cuarentena: los correos electrónicos no cualificados son dirigidos a la carpeta de correo no deseado o spam. Rechazo: el nivel más alto de protección, que bloquea los emails no cualificados para que no lleguen al destinatario.
Metodología:
Para evaluar el nivel de adopción de DMARC en el sector de ecommerce en España, Proofpoint realizó durante noviembre de 2024 un análisis de los dominios de los 30 principales comercios online según el estudio de VisibilidadOn sobre las tiendas online con más tráfico en España, elaborado a través de los datos mensuales de la herramienta Semrush.