SPF No es suficiente

Hoy hemos recibido un correo del Ministerio del Interior, relativo a una multa impagada.

La primera impresión es que se trataba de un correo fraudulento, pero al mirar el remitente, me ha parecido legítimo. Lo envía:

Ministerio del Interior<multas@interior.gob.es>

He revisado las cabeceras del mensaje, y me ha mosqueado bastante que el Ministerio del Interior utilice un servidor ruso para enviarme una notificación de una multa:

Received: from 194-58-108-196.ovz.vps.regruhosting.ru 
(194-58-108-196.ovz.vps.regruhosting.ru [194.58.108.196])

He consultado el registro SPF del subdominio interior.gob.es, y me he encontrado esto:

El Ministerio del Interior, sí tiene publicado un registro SPF en el que informa que los correos legítimos los envía desde los servidores autorizados para recibir correos (MX).

He revisado cuáles son estos servidores:

Y resulta que no tienen publicado ningún servidor de correo entrante para este subdominio (interior.gob.es). O sea, que aunque contestes a multas@interior.gob.es, ese correo será devuelto porque no hay dado de alta ningún servidor de correo para ese subdominio.

Por tanto, tal y como suponía, el servidor ruso que me ha enviado el correo con la multa, NO está autorizado por la política SPF del subdominio interior.gob.es

Y sin embargo, extrañamente, mi servidor de correo entrante no ha rechazado el correo.

Intrigado, he analizado todas las cabeceras del mensaje con la ayuda del servicio de MXToolbox

He ahí mi sorpresa: Puesto que el subdominio interior.gob.es no tiene activado DMARC, el SPF que consulta no es el del dominio interior.gob.es, sino el del servidor ruso que ha enviado el mensaje.

Esto me ha confirmado que tener publicado el registro SPF, si no tienes activado DMARC no sirve de nada. Cualquier hacker de medio pelo puede enviar correos haciéndose pasar por un usuario de ese dominio, y los servidores de correo no lo filtrarán.

Bonificaciones LOPD

Esta pasada semana, la Fundación Tripartita ha emitido un nuevo comunicado advirtiendo a las empresas de los riesgos de utilizar la formación bonificada como moneda de cambio para pagar implantaciones de LOPD.

Comunicado a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistemas de protección de datos de carácter personal.
La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.

El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.

La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.

Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.

La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en: servicioalcliente@fundaciontripartita.org.

Esta técnica que utilizan algunas consultoras sin escrúpulos «Tú haces un curso de LOPD que te sale gratis y a cambio te regalo los trabajos de implantación» ofrece a los clientes un servicio de pésima calidad (Además no pueden reclamar porque «es gratis, ¿qué más quieres?») pero no sólo eso, sino que les coloca en la diana de la Inspección de Trabajo y Seguridad Social.

Estos sujetos utilizan los créditos de formación de sus clientes para cobrar por su trabajo de adaptación a la LOPD y les prometen a sus clientes que cumplirán la LOPD sin gastarse ni un euro de su bolsillo.

Lo que NO les dicen a sus clientes es:

  1. Que la calidad del servicio prestado es pésima: Al fin y al cabo, si al cliente le sale gratis, tampoco puede exigir mucho.
  2. Que están cometiendo un fraude a la Seguridad Social, por utilizar los créditos formativos para una finalidad distinta de la que tienen por ley: Se aplican a consultoría en lugar de a formación
  3. Que están siendo cómplices de un fraude a la Agencia Tributaria por no haber pagado el IVA de una actividad (consultoría), que tributa el 18% y haberla camuflado falsamente como formación (que tiene IVA 0%)
  4. Que para cuando se descubra el pastel, los «consultores» habrán cerrado el chiringuito, pero la Inspección de la Seguridad Social y la de la Agencia Tributaria repasarán el listado de clientes que se han beneficiado de esas subvenciones y le reclamarán a cada cliente la devolucíon del importe de los créditos consumidos en los años anteriores, más la sanción de la Inspección de la Seguridad Social, más el IVA no ingresado, más la sanción de la Agencia Tributaria.

Las empresas que se preocupan de adaptarse a la LOPD lo hacen para cumplir la ley y evitar el riesgo de sanciones. Pero ningún cliente informado aceptará adaptar su empresa para cumplir la LOPD a base de cometer fraude a la Seguridad Social y a la Agencia Tributaria.