El email marketing es una herramienta fiable y de eficacia probada: las marcas envían cientos de miles de ofertas, newsletters y anuncios por correo electrónico a sus clientes cada día. Correo electrónico...
Si llevas tiempo en el sector, seguramente habrás oído hablar de varias filtraciones de datos importantes que afectaron a pequeñas y medianas empresas (pymes), grandes empresas y grandes corporaciones. Recientemente, servicios como Mailchimp, Klaviyo y Signal también se vieron comprometidos.
Teniendo en cuenta la cantidad de datos personales necesarios para garantizar tasas de clics del 10% o más, no sorprende que estas filtraciones de datos generen temor entre los clientes y limiten gravemente las impresiones y la capacidad de entrega de los correos electrónicos de marketing posteriores.
Debido a la infinidad de maneras en que una seguridad deficiente puede afectar la confianza en la marca y su estrategia de marketing, es esencial garantizar que cada paso de su proceso de marketing, desde su extremo hasta el de sus clientes, permanezca seguro.
Dependiendo de la naturaleza de la vulnerabilidad explotada por los hackers, tales fallos de seguridad también podrían acarrearle litigios por incumplimiento de la Ley de Control del Asalto de Pornografía y Marketing No Solicitados (CAN-SPAM). Reglamento General de Protección de Datos (GDPR), la legislación canadiense contra el spam (CASL), etc. Por lo tanto, estas son las mejores prácticas que debe seguir para salvaguardar su estrategia de marketing, los datos de sus clientes y la confianza en su organización.
Objetivos de seguridad prácticos: ¿Por dónde empezar?
Si bien es bien sabido que los destinatarios de correo electrónico son vulnerables a los ataques de ciberseguridad, a menudo se pasa por alto que estos mismos métodos pueden utilizarse contra los profesionales del marketing por correo electrónico.
Cuando esto ocurre, las consecuencias son mucho más graves debido a la enorme cantidad de datos personales sensibles que manejan los profesionales del marketing por correo electrónico. Por lo tanto, deben implementar medidas para protegerse contra las amenazas de ciberseguridad más comunes, como el malware, el phishing y los archivos adjuntos comprometidos.
Por lo tanto, sus esfuerzos deben centrarse primero en prevenir la pérdida de datos mediante estas medidas; sin duda, no querrá que su contenido y llamadas a la acción se utilicen con fines maliciosos. Además, su infraestructura de seguridad debe abordar las deficiencias sistémicas, como la falta de protocolos de seguridad de correo electrónico, medidas de cifrado y criterio humano (tanto de su equipo de marketing como de sus clientes).
Finalmente, es esencial integrar medidas que aborden las fallas propias de su infraestructura de correo electrónico actual, incluyendo su cliente de correo electrónico, proveedor de servicios de correo electrónico, proveedor de servicios de Internet, etc.
Protocolos de seguridad de correo electrónico
Sin medidas de seguridad robustas, los protocolos de seguridad de correo electrónico como el Protocolo Simple de Transferencia de Correo (SMTP), el Formato de Mensaje de Internet (IMF), el Protocolo de Acceso a Mensajes de Internet 4 (IMAP4) y el Protocolo de Oficina de Correos 3 (POP3) no son suficientes para garantizar la protección de datos.
La mejor práctica en materia de seguridad de correo electrónico consiste en integrar y combinar varios protocolos y herramientas de seguridad. A continuación, presentamos algunas soluciones que puede incorporar a su entorno.
Marco de políticas del remitente (SPF)
SPF Te permite crear un registro que restringe qué direcciones IP pueden usar tu dominio para enviar correos electrónicos a clientes potenciales. Evita la suplantación de identidad por correo electrónico, una técnica en la que los ciberdelincuentes utilizan tu dominio para enviar correos electrónicos maliciosos. Mediante SPF, puedes especificar qué servicios, servidores o proveedores de servicios de correo electrónico (ESP) tienes autorizado para enviar correos electrónicos.
Una ventaja importante de esto es que aumenta la confianza del cliente al verificar que el remitente del correo electrónico está autorizado para hacerlo. Por lo tanto, puede aumentar indirectamente la interacción, los CTR y el ROI.
Lamentablemente, no todos los proveedores de correo electrónico y dominio admiten este protocolo, ya que no todos proporcionan los datos DNS necesarios para su configuración. Por lo tanto, es fundamental verificar qué proveedores admiten la funcionalidad SPF.
Una vez configurado SPF, es fundamental esperar de 2 a 3 días hábiles para que se refleje en sus boletines informativos, correos de bienvenida, correos de retargeting, etc. Posteriormente, puede usar un software de diagnóstico de SPF para analizar el registro y confirmar que funciona correctamente. Sin embargo, las buenas prácticas recomiendan combinar SPF con otros protocolos de seguridad de correo electrónico debido a una importante limitación de SPF: la incapacidad de restringir la autorización a usuarios legítimos.
Por este motivo, los ciberdelincuentes con los conocimientos técnicos suficientes pueden encontrar un dominio y añadir un registro SPF que autorice el uso de dicho dominio desde su dirección IP. Por lo tanto, SPF solo sirve como base de la estrategia de protocolo, y DKIM debe complementar su uso.
Correo identificado con claves de dominio (DKIM)
DKIM SPF añade dos funcionalidades a su base: infraestructura de cifrado y la vinculación con el texto o contenido. La primera garantiza que cada correo electrónico se identifique de forma única mediante dos claves de cifrado: una clave privada y una clave pública.
El primero está vinculado a su Agente de Transferencia de Mensajes (MTA) y no debe revelarse, mientras que el segundo se incluye en el registro TXT del DNS que se utiliza para configurar el protocolo. También es importante tener en cuenta que configurar DKIM es algo más complejo que SPF, ya que se necesita un registro independiente para cada dominio de correo electrónico.
Además, al estar vinculado a la copia o al contenido en sí, DKIM ayuda a validar aún más la identidad del autor original. Por lo tanto, mientras que en el ejemplo anterior los ciberdelincuentes podrían buscar un dominio y subir un registro DNS SPF falso, con DKIM esto sería mucho más difícil.
Además, cualquier persona que reciba un correo electrónico supuestamente enviado por usted puede usar la clave pública disponible para verificar que la firma del correo electrónico corresponde a su token. Sin embargo, al igual que con SPF, es fundamental verificar qué proveedores admiten DKIM. Una vez establecido, el tiempo de espera y el proceso necesarios para ejecutar diagnósticos de DKIM son similares a los de SPF. Si bien DKIM no presenta las deficiencias aparentes de SPF, la implementación del protocolo queda a discreción del proveedor de su equipo de marketing. Aunque la mayoría de los proveedores implementan el protocolo según lo descrito, no están obligados a hacerlo; por eso es necesario DMARC.
Autenticación, informes y conformidad de mensajes basados en dominios (DMARC)
DMARC DMARC es un protocolo de seguridad de correo electrónico que actúa como garante de la seguridad de los registros SPF y DKIM. Básicamente, DMARC analiza un correo electrónico para detectar la presencia de SPF y DKIM, ejecuta las instrucciones que hayas especificado si alguno de estos protocolos no está presente y te notifica (a ti o a tu servidor de correo) sobre esta ausencia.
Aunque es posible subir un registro TXT de DMARC sin tener SPF ni DKIM, es recomendable configurar primero estos dos últimos por las razones ya explicadas. Al igual que con los protocolos de seguridad mencionados anteriormente, deberá listar individualmente todos los dominios que ya utilizan el registro SPF o DKIM e incluirlos en su registro DMARC.
Es especialmente importante realizar el proceso de migración a DMARC a lo largo de semanas, en lugar de meses. Esto le permitirá verificar si sus registros de implementación son demasiado estrictos (podría marcar inadvertidamente como spam correos electrónicos legítimos enviados por su equipo de marketing).
Durante estas semanas, deberá analizar los informes DMARC que envían los servidores de correo electrónico de los destinatarios y confirmar si el protocolo funciona correctamente o si se ha producido algún error. También es importante estar atento a caídas repentinas e inexplicables en la entregabilidad y las impresiones.
Gradualmente, puede aumentar la rigurosidad de su protocolo, asegurándose de que cada instrucción funcione según lo previsto. Una vez completado, sus correos electrónicos serán inmunes a la mayoría de los ataques de suplantación de identidad corporativa (BEC).
Indicadores de marca para la identificación de mensajes (BIMI)
BIMI es similar a DMARC, con la diferencia crucial de que te permite mostrar tu logotipo de empresa en los servidores de correo electrónico de los destinatarios (una vez que esos correos electrónicos hayan sido validados con (SPF, DKIM y DMARC). Esto ayuda a aumentar la confianza, el conocimiento de la marca y la visibilidad a largo plazo.
También elimina la necesidad de realizar búsquedas DNS con claves públicas y privadas, como se mencionó anteriormente. Sin embargo, para usar BIMI, debe implementar una política DMARC que marque los correos electrónicos sospechosos como posible spam y los devuelva a su dominio, o que bloquee directamente su entrega.
Además, debe tener una buena reputación de IP como operador de correo electrónico masivo reconocido, los datos necesarios para crear el Registro de Aserción BIMI (BAR) y un logotipo en formato SVG.
Lamentablemente, a partir de octubre de 2022, solo Apple Mail, Fastmail, Pobox, Gmail, Google Workspace, La Poste, Yahoo, AOL, Netscape y Zone son compatibles con BIMI. Además, Gmail requiere un certificado de marca verificada para mostrar su logotipo en sus servidores.
Una vez configurado BIMI, puede utilizar un proceso similar al de su registro SPF para analizarlo y confirmar que funciona según lo previsto.
Reputación de IP y dominio
Como se mencionó anteriormente, Reputación de IP Es fundamental para la seguridad del marketing por correo electrónico, y con razón. Se sabe que las direcciones IP con puntuaciones de reputación más bajas envían más correos electrónicos sospechosos y, por lo tanto, facilitan más ataques de phishing. un robo de identidad intentos y suplantación de identidad por correo electrónico.
Además del efecto que esto tiene sobre la confianza en la marca y la capacidad de entrega, el uso de dichas IP también puede poner a su PYME, PYME o LE en riesgo de sufrir ataques BEC al permitir que los ciberdelincuentes accedan fácilmente a los datos alojados en sus servidores.
Por lo tanto, cambiar a una IP con buena reputación beneficia la seguridad de tus clientes y el negocio. También es importante mencionar que cambiar de proveedor, de una plataforma como Klaviyo a otra como ConvertKit, puede mejorar las tasas de entrega.
Otro indicador importante a tener en cuenta es la reputación del dominio. Cabe destacar que los protocolos de seguridad, como los ya mencionados, pueden aumentar indirectamente esta puntuación. Por lo tanto, no siempre es necesario cambiar de dominio para mejorar su reputación.
Lo ideal es obtener una puntuación de reputación de IP y dominio de 70 o más para garantizar la seguridad y la confianza de sus copias. Existen diversas herramientas de diagnóstico de reputación de IP fiables que permiten identificar IP poco fiables y recomendar proveedores consolidados en el sector.
Autenticación multifactor (MFA)
Si bien elegir una contraseña de correo electrónico segura es una prioridad, los hackers aún pueden descifrar estas contraseñas utilizando detalles recopilados de filtraciones de datos y sofisticados ataques de phishing. La autenticación multifactor (MFA) añade capas adicionales de seguridad. Protege tu contraseña de correo electrónico e impide que los atacantes accedan a tu cuenta, incluso si obtienen tus datos de inicio de sesión. En concreto, requiere métodos de verificación adicionales, como el uso de un código alfanumérico aleatorio y único, el segundo factor universal (U2F) y datos biométricos.
Los sistemas U2F utilizan dispositivos físicos independientes de cualquier conexión a internet, que deben estar conectados físicamente a un ordenador personal. Por otro lado, los datos biométricos se adaptan mejor a los dispositivos móviles y aprovechan la amplia disponibilidad de escáneres de huellas dactilares.
Hacer de la autenticación multifactor (MFA) un requisito para tu equipo de marketing es una buena idea, ya que es superior a la autenticación de dos factores, que se limita a un solo método adicional.
Pasarelas de correo electrónico seguras (SEG)
Los SEG supervisan el tráfico entrante y saliente de sus servidores de correo electrónico. Este software es eficaz para prevenir ataques BEC y malware, impidiendo que accedan a sus servidores. Los SEG pueden implementarse localmente si su organización es lo suficientemente grande, o en la nube si cuenta con un gran número de empleados que trabajan de forma remota o híbrida.
Además de las amenazas entrantes, los SEG también son eficaces para prevenir fallos en los datos salientes y proporcionar análisis de diagnóstico que ayudan a optimizar aún más la seguridad del correo electrónico entrante y saliente para servidores individuales.
Además, los SEG permiten a los usuarios almacenar correos electrónicos que podrían ser accesibles tras una pérdida de datos en todo el sistema debido a ataques maliciosos.
Redes privadas virtuales (VPNs)
Las VPN ayudan a garantizar el anonimato del tráfico de correo electrónico modificando la ubicación de los datos de origen. Además de permitir que los especialistas analicen cómo se muestran y funcionan sus estrategias de marketing en una región completamente diferente con una VPN, al garantizar la privacidad, las VPN brindan protección contra ataques de correo electrónico e ingeniería social maliciosa dirigidos explícitamente a su cliente de correo electrónico.
Además, las VPN ofuscan los datos transmitidos a través de las redes de Internet en las que se utilizan. De este modo, protegen los paquetes de datos que contienen información confidencial de los clientes y facilitan el cumplimiento de normativas como CAN-SPAM, GDPR y CASL.
Además, la seguridad de las VPN no se limita únicamente a los ciberdelincuentes; las VPN también impiden que los ISP accedan a los datos que envías a través de tu red gracias a la eficacia de su tecnología de autenticación.
Sin embargo, usar únicamente VPN no es la mejor práctica, ya que solo protegen la conexión entre dos puntos fijos. Por lo tanto, las VPN no protegen contra ataques dirigidos principalmente a tu dispositivo antes de la transmisión de datos. Además, los datos suelen ser accesibles para el servicio VPN, lo que supone un riesgo de seguridad si las bases de datos de terceros se ven comprometidas.
Capacitación en seguridad cibernética
La formación en ciberseguridad ayuda a abordar el aspecto más vulnerable de la protección de datos: el error humano. Una formación interna adecuada en ciberseguridad es el método más eficaz para prevenir los ataques de ingeniería social. La capacidad de analizar asuntos de correo electrónico, dominios de confianza y contenido es fundamental.
Asimismo, es fundamental desconfiar de los archivos adjuntos y los hipervínculos, ya que son los más utilizados para llevar a cabo ciberataques.
Sin embargo, la concienciación sobre ciberseguridad no debe limitarse a la formación de empleados. Su estrategia de marketing debe incluir acciones dirigidas a alertar a los clientes potenciales sobre la posibilidad de correos electrónicos no deseados, con malware y de phishing. Esto también debe incluirse en las páginas de destino.
En definitiva, junto con sus protocolos SPF, DKIM, DMARC y BIMI, un enfoque en la ciberseguridad permitirá a su empresa posicionarse como un establecimiento legítimo y confiable, capaz de proteger los datos de los clientes y preocupado por garantizar que dichos clientes no sean objeto de ataques maliciosos.
Esto conllevará un aumento en el conocimiento de la marca, la confianza y las tasas de conversión. Sin embargo, es fundamental integrar pruebas multivariantes y por categorías en las campañas de marketing para maximizar los indicadores clave de rendimiento (KPI).
Cifrado
Esto es imprescindible para garantizar la seguridad del correo electrónico. El cifrado directo de los datos y el uso de una VPN ayudan a superar algunas de las limitaciones de las medidas de seguridad basadas únicamente en VPN. En concreto, impide que los proveedores de VPN de terceros accedan a los paquetes de datos.
Para la comunicación interna, se recomienda el cifrado asimétrico, ya que exige que los destinatarios posean una clave pública y una clave privada, ambas compartidas con ellos previamente, para acceder a los datos. Para la comunicación saliente, se puede utilizar el cifrado en tránsito.
Conclusiones:
Todo equipo de marketing por correo electrónico debería contar con un conjunto de buenas prácticas y estrategias para prevenir las filtraciones de datos. Esto contribuye a proteger los datos de la empresa, aumentar la confianza en la marca y garantizar la entregabilidad a largo plazo.
Estas prácticas deben abordar los aspectos técnicos y humanos de la seguridad del correo electrónico, centrándose en el equipo de marketing y el destinatario. Los protocolos de seguridad de correo electrónico son fundamentales, destacando BIMI, DKIM, DMARC y BIMI.
Además de los métodos anteriores, se deben integrar en la infraestructura de seguridad las VPN, la formación en ciberseguridad, el cifrado de datos, la MFA, los SEG y el cambio a una IP de buena reputación.
