Inspirados por un artículo de Marketing4eCommerce, hoy queremos hablarte de qué es el DMARC y cómo puede ayudar a tu negocio a la hora de prevenir posibles amenazas derivadas del phishing; ese término utilizado para referirse a uno de los métodos más utilizados por los cibernéticos para estafar y obtener información confidencial (como pueden ser claves bancarias, contraseñas de sites, etc.) de clientes de otras marcas, logrado haciéndose pasar por ellas ante los diferentes usuarios, suplantando su identidad y presentando el email (engañoso) de una manera muy similar a la del resto de comunicados que comparte la marca.
Ante esta situación, el DMARC ofrece protección contra esos tan temibles ataques de phishing. Que, dicho sea de paso, no solo perjudican al destinatario (que revela sus datos personales de manera inconsciente), sino también a la reputación de la marca, así como a su capacidad de entrega en campañas de emailings futuras.
Pero, empecemos por el principio.
¿Qué es el DMARC?
Podemos definir el DMARC como el proceso de Autenticación de mensajes, informes y conformidad basada en dominios, que, dicho en otras palabras es un recurso con el que pueden contar las empresas para llevar un control, registro y notificación del uso indebido de su dirección de remitente. El objetivo de esta herramienta es el de poder interceptar de manera adecuada y lo más rápidamente posible la suplantación de identidad de una marca en cuestión.
Pero, lo más curioso de todo, es que -aunque no tengas muy familiarizado este concepto-, lo cierto es que el DMARC es algo que lleva activo en el mercado, ayudando a las marcas, desde el año 2012.
¿Cuál es el funcionamiento de DMARC?
El DMARC, por tanto, funciona de la siguiente manera: el propietario del dominio a través del cuál se realizan los envíos de correo electrónico (generalmente, la marca) debe configurar los registros del SPF y la clave pública DKIM dentro de su DNS.
Pero, ¿qué es el SPF y el DKIM? te estarás preguntando. Fácil: el SPF (Sender Policy Framework) tiene como objetivo impedir la falsificación de un remitente, verificando que los correos proceden, efectivamente, de un host autorizado por el administrador del dominio (en este caso, normalmente la marca). Por su parte, el DKIM (DomainKey’s Identified Mail) busca demostrar que el correo no ha sido movido o desplazado de su camino, y que, efectivamente, ha sido generado por el remitente que dice ser.
Bien, un vez con el SPF y el DKIM configurados, se especifica también qué direcciones de IP y qué firmas tienen el consentimiento de la marca para enviar contenidos legítimos.
Con todo este proceso realizado (y con algunos pasos más que no hemos definido, pero de los cuáles podemos asesorarte como herramienta de Email Marketing que somos, sin problema), podemos garantizar -ahora sí- la integridad de os envíos, ya que -a partir de las tecnologías nombradas anteriormente- el dueño del dominio será notificado cada vez que un comunicado se envíe bajo su nombre (dominio, IP, etc.), y no será hasta que éste no valide el mismo que se manden a su comunidad o base de datos.
De esta manera, el propietario de domino (o marca) tiene tres opciones diferentes entre las que podrá elegir cuando se le notifique en envío de mensajes:
- Marcar como None: enviándose sin problema. Es decir, dando luz verde.
- Marcar como Quarantine: el contenido llegará a la carpeta de SPAM
- Marca como Reject: prohibiendo seguir adelante con la entrega.
¿Qué problemática presenta?
Aunque parece algo muy práctico y útil a la hora de implementar por parte de las marcas para prevenir el phishing, si bien es cierto que no es oro todo lo que reluce: el problema que genera es que no queda perfectamente claro qué utilización de datos personales requiere el uso del DMARC en las empresas; algo que, dentro del territorio europeo, y teniendo en cuenta la Ley de Protección de Datos, puede plantear ciertas dificultades a la hora de asegurar el cumplimiento íntegro y total de la LOPD.
Veámoslo de manera más detallada.
De acuerdo a lo que dice el Artículo 4.1 de la LOPD, los datos personales se entienden como «toda aquella información que se relaciona con una persona identificada o identificable», bien. Y esto es también aplicable a las direcciones de IP estáticas y dinámicas, y también a los dominios. Por otro lado, la ley también establece que el procesamiento de los datos personales -en terceros- está permitido siempre y cuando se autorice por la propia ley, o, en su defecto, por la propia persona a quien le afecte.
Entonces, teniendo en cuenta esto, ¿qué sucede con la transferencia o el uso de la información, cuando su fin es el de proteger los intereses legítimos de un usuario o entidad? He ahí la cuestión, ya que, recordemos, para implementar el DMARC, es necesario transferir una serie de información, que, digamos, corre a cargo del propietario del dominio, pero contiene datos de terceros, que éstos le han transferido a la marca (propietario del dominio), pero no a un tercero. ¿Nos sigues lo que queremos decir? Bien, pues este es el debate que genera esta cuestión en ámbito europeo, y por lo que su uso no está, todavía, totalmente normalizado.
No obstante, también podemos decir que, según Mailexperten, el DMARC es totalmente compatible con las restricciones establecidas en la LOPD. Sin embargo, lo que sí dice es que toda aquella información que vaya a ser transferida debe ser anónima o eliminada tan pronto como sea posible en los informes en cuestión. De hecho, es cierto que los informes requieren de mucha información que no es necesaria para un uso efectivo de DMARC, por lo que se recomienda eliminarlos tan pronto como sea posible, evitando -así- cualquier tipo de problema.
