Nota: ¿No eres un remitente de correo masivo? Consulta las normas para todos los remitentes en nuestra página de preguntas frecuentes.
La publicación de estos requisitos -que los remitentes masivos deberán cumplir antes de febrero de 2024- es una fantástica noticia para la seguridad del correo electrónico. El correo electrónico es uno de los principales canales de comunicación digitales del mundo, tanto para uso profesional como personal. Estas medidas de Google y Yahoo para proteger aún más a los usuarios contra los ciberdelincuentes significan que pueden esperar mucho menos spam y correos electrónicos ilegítimos.
En el panorama digital actual, el phishing de correo electrónico es el tipo más común de ciberdelito por parte de los actores maliciosos para hacerse con valiosos datos de los usuarios, ya que los correos electrónicos de phishing representan el 91% de los ciberataques.
De los más de 347.000 millones de correos electrónicos que se envían cada día en el mundo, entre el 45 % y el 50 % son spam, y cerca de 3.400 millones son phishing.
En su anuncio de octubre de 2023, Google afirmó que las ciberamenazas actuales son "más complejas y acuciantes que nunca", lo que ha llevado a la publicación de estos nuevos requisitos para los remitentes masivos (aquellos que envían más de 5.000 correos electrónicos a direcciones de Gmail al día). Google también señaló que no es el único proveedor de correo electrónico que impulsa estos cambios, y Yahoo le siguió de cerca con sus propios requisitos actualizados para remitentes masivos.
"Independientemente de quién sea su proveedor de correo electrónico, todos los usuarios merecen la experiencia más segura posible. En un mundo interconectado a través del correo electrónico, eso requiere que todos trabajemos juntos. Yahoo está deseando trabajar con Google y el resto de la comunidad del correo electrónico para que estos cambios de sentido común y gran impacto se conviertan en la nueva norma del sector", dijo Marcel Becker, Director Senior de Producto de Yahoo.
Ambas organizaciones señalaron que muchos remitentes de correo masivo no configuran correctamente sus ecosistemas de correo electrónico, lo que permite a los ciberdelincuentes colarse por sus defensas sin ser detectados.
Para solucionar este problema, los nuevos requisitos sobre remitentes masivos se centran en un aspecto vital de la seguridad del correo electrónico: la validación de que un remitente es quien dice ser mediante una autenticación sólida del correo electrónico. Además, estos requisitos facilitarán a los usuarios darse de baja de los correos electrónicos y mantendrán las bandejas de entrada libres de mensajes no deseados.
Nuevos requisitos para los remitentes masivos en Google y Yahoo
1. Asegúrate de que los correos electrónicos pasan las comprobaciones de los protocolos SPF y DKIM.
La configuración del correo electrónico saliente debe actualizarse para garantizar que los correos electrónicos pasen tanto las comprobaciones del Marco de Directivas del Remitente (SPF, por sus siglas en inglés) como las del Correo Identificado por Claves de Dominio (DKIM, por su siglas en inglés), en lugar de pasar por una de las dos que habría bastado anteriormente.
Esto significa que los remitentes masivos deben actualizar sus DNS para demostrar que son quienes dicen ser y que utilizan la infraestructura correcta para enviar correo electrónico. Las políticas SPF y DKIM garantizan que solo los remitentes autorizados pueden enviar correo electrónico desde un dominio (SPF) y verifican que el correo electrónico es auténtico y no ha sido manipulado durante el tránsito (DKIM).
2. Configura un registro DMARC
El dominio desde el que se envían los correos masivos debe tener un registro DMARC (Domain-based Message Authentication, Reporting, and Conformance ) vigente y aprobado.
En pocas palabras, DMARC es un estándar global de autenticación de correo electrónico que proporciona análisis de datos y aplicación de SPF y DKIM. Garantiza que solo el correo electrónico legítimo, procedente del remitente real, llegue a la bandeja de entrada del destinatario, protegiéndolo frente a ataques de suplantación de identidad y phishing.
DMARC añade una capa adicional de seguridad a SPF y DKIM para proteger eficazmente a los remitentes contra la suplantación de identidad y los daños relacionados con ella, como daños a la reputación, merma de la confianza de los destinatarios y pérdidas económicas. El cumplimiento de DMARC garantiza la máxima seguridad y entregabilidad de los mensajes de correo electrónico.
Google y Yahoo aún no exigen una política DMARC estricta y los remitentes pueden empezar con una política p=none para empezar a controlar quién envía correos electrónicos utilizando sus dominios. Sin embargo, la política DMARC recomendada por el sector de la ciberseguridad sigue siendo p=reject -la aplicación más estricta posible de DMARC-, que bloqueará por completo los correos electrónicos de fuentes no autorizadas.
3. Facilita la cancelación de la suscripción
Si alguna vez te has dado de baja de una cadena de correos electrónicos solo para recibir más correos del mismo remitente, este requisito te dará una inmensa alegría. Gmail y Yahoo exigirán que los remitentes de grandes volúmenes permitan a los destinatarios darse de baja de correos electrónicos no deseados con un solo clic y que estas solicitudes se procesen en un plazo de dos días.
4. Cumple el nuevo umbral de spam
Por primera vez en el sector, Google introdujo un umbral de spam inferior al 0,3 %, y Yahoo hizo lo propio. Esta medida refuerza la misión de ambos proveedores de mantener los mensajes no deseados fuera de las bandejas de entrada de los usuarios.
Este requisito beneficia tanto a los destinatarios, que podrán confiar en la autenticidad de los correos electrónicos que reciben, como a los remitentes masivos, ya que con un umbral de spam muy inferior a éste, la reputación, la capacidad de entrega y el rendimiento del correo electrónico de un remitente masivo se verán afectados negativamente.
Si los remitentes no cumplen estos requisitos, Google afirma que los mensajes podrían ser rechazados o enviados a las carpetas de spam de los destinatarios.
Conoce más información sobre los requisitos en Preguntas frecuentes sobre las directrices para remitentes de correo electrónico de Google y detalles sobre los plazos de cumplimiento en el esquema a continuación.
¿Cómo afectarán las nuevas normas de Google y Yahoo a los correos electrónicos de mi empresa?
Una inquietud de las empresas en esta fase es que sus correos electrónicos sean rechazados sino cumplen los actualizado actualizados antes del 1 de febrero de 2024. Este no es el caso ya que estas normas se irán introducirán gradualmente. Aquí tienes una lista de las etapas para el cumplimiento que tu empresa debe tener en cuenta:
- Febrero de 2024: Comenzará la supervisión activa de los remitentes y algunos correos electrónicos pueden verse afectados. Los remitentes de gran volumen queno cumplen los requisitos empezarán a ver errores en un pequeño porcentaje de correos electrónicos no conformes. En esta fase pretende ayudar a los remitentes a identificar el tráfico que no cumple los requisitos y aplicar medidas para solucionarlo antes de que las normas sean obligatorias..
- Abril de 2024: Los proveedores de correo electrónico empezarán a rechazar una parte de los correos electrónicos que no cumplan las normas. Este porcentaje aumentará con el tiempo.
- Junio de 2024: Todos los nuevos requisitos pasan a ser obligatorios. Este incluye la cancelación de la suscripción con un solo clic para los correos electrónicos comerciales.
Aunque faltan varios meses para la fecha límite, es crucial tomar medidas inmediatas durante estas fases iniciales. Este enfoque proactivo no solo protegerá sus correos electrónicos de posibles rechazos, sino que también reforzará sus defensas contra la suplantación de identidad.
¿Por qué son importantes los cambios en Google y Yahoo?
"Estas prácticas deben considerarse higiene básica del correo electrónico", dijo Google, "y muchos remitentes ya cumplen la mayoría de estos requisitos". Para los remitentes que no lo hacen, tanto Google como Yahoo han publicado orientaciones para facilitar el cumplimiento.
El interés de Google por la autenticación del correo electrónico es especialmente relevante si se tiene en cuenta el frecuente uso de esta herramienta de comunicación en ataques de suplantación de identidad a través de correos electrónicos falsos. La empresa afirma: "Por básico que parezca, a veces sigue siendo imposible verificar de quién procede un correo electrónico, dada la maraña de sistemas anticuados e incoherentes que hay en internet".
Si bien el requisito de Google de 2022 de que los correos electrónicos enviados a direcciones de Gmail deben tener alguna forma de autenticación provocó un descenso del 75% de los mensajes no autenticados, la organización afirma que aún queda mucho por hacer, empezando por nuevos requisitos para los remitentes masivos.
La importancia de la autenticación del correo electrónico
Hay un fallo de seguridad en la forma en que se diseñó el correo electrónico. Así lo pone de manifiesto la popularidad de los ataques de phishing. Solo en 2022, se denunciaron 854.000 nombres de dominio por phishing.
La autenticación del correo electrónico ya no es una opción si las empresas quieren protegerse a sí mismas y a sus interlocutores de los ciberdelincuentes, así como garantizar que el correo electrónico se entrega al destinatario previsto.
Este defecto de diseño del correo electrónico plantea cuatro problemas principales a las organizaciones:
- Suplantación de identidad
Los ciberdelincuentes pueden enviar correos electrónicos desde su dominio estafando a personal, clientes y proveedores. - Interceptación
Un correo electrónico puede ser interceptado y modificado sin conocimiento del remitente ni del destinatario. - Problemas de entrega
El correo electrónico legítimo suele acabar en Spam y los falsos positivos causan trastornos a la empresa. - Visibilidad y auditoría inadecuadas
Las organizaciones no tienen visibilidad activa de quién envía correos electrónicos desde sus dominios.
Sin protocolos eficaces de autenticación del correo electrónico, su empresa corre el riesgo de sufrir suplantación de identidad, lo que podría ocasionar daños financieros y de reputación.
Si bien la protección perimetral y antispam existentes pueden proteger a sus partes interesadas internas, no protegen a sus clientes, proveedores y al resto del mundo de los correos electrónicos fraudulentos enviados utilizando su dominio.
Esto hace que los nuevos requisitos de Google y Yahoo sean beneficiosos tanto para los remitentes masivos como para los usuarios, ya que ambos estarán mucho más protegidos contra los daños de los correos electrónicos maliciosos a partir de febrero de 2024.
Asesórate con un experto en DMARC para cumplir la normativa sin problemas
DMARC es el mejor estándar tecnológico para proteger a su empresa contra el correo electrónico fraudulento. Evalúa exhaustivamente el origen de un correo electrónico para garantizar que solo los correos legítimos lleguen a la bandeja de entrada.
Los detalles de la aplicación de los nuevos requisitos de remitente masivo de Google y Yahoo para la autenticación del correo electrónico pueden parecer abrumadores, pero no es necesario que emprendas solo el camino hacia el cumplimiento.
Sendmarc es un líder en seguridad de correo electrónico en el que su empresa puede confiar para una implementación de DMARC rápida, fluida y escalable para organizaciones de cualquier tamaño.
Si quieres ver si tu dominio es vulnerable a la suplantación de identidad, puedes comprobar tu puntuación sin costo aquí. O ponte en contacto con nosotros hoy mismo para ver cómo podemos ayudarte a cumplir los nuevos requisitos de autenticación de correo electrónico de la forma más sencilla posible.
