Estudio sobre la seguridad email en el sur de Madrid

Introducción 

Este estudio nace de una observación directa sobre una muestra de dominios de empresas ubicadas en diversos parques empresariales del sur de Madrid. No se trata de una encuesta de opinión ni de un análisis teórico, sino de la revisión de la configuración pública de seguridad que estas organizaciones publican en Internet.

​He elegido este entorno por ser un microcosmos empresarial vivo y representativo. En estos parques, el email es la herramienta crítica para el día a día: pedidos, presupuestos y relaciones comerciales dependen de que la identidad del remitente sea legítima.

​Alcance del análisis

​Para este estudio, me he centrado exclusivamente en verificar si la empresa tiene:

  • Autenticación o autentificación: Si la empresa está validando su correo saliente.
  • Instrucciones de fallo: Si además publica instrucciones claras para que el remitente sepa que hacer cuando esa validación falla.

Metodología 

El análisis se ha basado exclusivamente en la observación pública que los dominios de las empresas proyectan hacia Internet. Es la misma información técnica que cualquier servidor (como el de sus clientes o proveedores) consulta antes de decidir si un correo es legítimo o no.

El proceso de recolección de datos:

  1. Selección del entorno: El estudio se ha circunscrito a empresas con actividad real y presencia física en diversos parques empresariales del sur de Madrid. Esta acotación garantiza que la muestra representa fielmente el motor económico de la zona.
  2. Volumen de la muestra: Se han auditado los dominios de 300 empresas y organizaciones activas. Este volumen de datos permite identificar patrones de comportamiento técnico que no son fruto de la casualidad, sino que reflejan una tendencia sistémica en la gestión de la identidad digital de la empresa.
  3. Análisis de autentificación: El examen se ha centrado en verificar si el titular del dominio ha definido una instrucciones de seguridad clara. 

Es fundamental destacar que este proceso es totalmente externo. No se ha accedido a la privacidad de ninguna empresa ni a sus servidores internos.

Resultados

Tras procesar los datos de los dominios en producción de las empresas analizadas en el sur de Madrid, la realidad técnica se divide en dos escenarios críticos. No hay puntos medios: o la empresa tiene el control, o el dominio está expuesto.

1. Implementación de políticas restrictivas (25,81%)

​Solo una cuarta parte de la muestra ha definido instrucciones explícitas ante cualquier intento de suplantación. Son las únicas que han completado el ciclo de autenticación, delegando en los servidores de destino la orden de rechazar activamente los envíos no autorizados.

2. Entornos vulnerables a la suplantación (74,19%)

Casi tres de cada cuatro empresas analizadas permiten, por acción u omisión, que terceros envíen correos en su nombre. Dentro de este gran bloque de riesgo, encontramos dos perfiles que, a efectos prácticos de seguridad, ofrecen el mismo resultado: vulnerabilidad total.

La observación pasiva (29,03%): Empresas que han configurado un registro de “observación”. En la práctica y si no es de carácter muy temporal, este estado suele volverse crónico: la empresa (en teoría) “mira” pero nunca actúa, dejando la puerta abierta indefinidamente. 

El abandono total (45,16%): Empresas sin ninguna instrucción de seguridad. El dominio está huérfano de protección y cualquier atacante puede utilizarlo como vector de ataque.

Conclusión 

El 74,19% de las empresas del sur de Madrid se encuentra en una situación de indefensión técnica. Independientemente de si han intentado una configuración básica o no han hecho nada (abandono), el resultado para el receptor del correo es el mismo: el sistema no garantiza que el remitente sea quien dice ser.

La observación pasiva permanente en el que vive el 29% de la muestra es, quizás, el riesgo más silencioso, ya que genera una falsa sensación de cumplimiento técnico mientras la vulnerabilidad sigue siendo del 100%. 

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web.