La Comisión Federal de Comercio de los EEUU publicó el (20/FEB/2018) un informe que examina 11 servicios de alojamiento web (web hosting) que comercializan sus servicios a las pequeñas empresas y encuentra que muchos no proporcionan por defecto ciertas tecnologías de autenticación de correo electrónico y anti-phishing, dejando potencialmente a muchas pequeñas empresas en riesgo de ser víctimas de estafas de phishing.

El informe que examinó a los proveedores de alojamiento web se denominó: "¿Protege el alojamiento web a sus clientes con tecnologías seguras de alojamiento y antiphishing?" La Oficina de Investigación y Tecnológica de la FTC examinó las características de seguridad ofrecidas por ciertos servicios de alojamiento web que atienden mayormente a pequeñas empresas. La investigación fue impulsada por una serie de mesas redondas en todo el país que la FTC celebró en 2017, en las que muchos propietarios de pequeñas empresas dijeron que la elección de alojamiento web y proveedores de correo electrónico era uno de los principales retos a los que se enfrentaban.

La investigación encontró que muchos de los alojadores web examinados están ayudando a las pequeñas empresas a implementar SSL/TLS, la mayoría de los proveedores está integrando el proceso en sus planes básicos de hospedaje u ofreciéndolos como opciones directas por un costo adicional. La tecnología SSL/TLS asegura que los usuarios están visitando un sitio web legítimo y no uno impostor. También proporciona comunicaciones encriptadas para proteger la información personal enviada entre el sitio web y la computadora del usuario, así como otras garantías de seguridad del sitio web.

El personal responsable del informe notó, sin embargo, que de las 11 empresas de alojamiento web examinadas por la FTC, pocas ofrecen acceso directo a las tecnologías de autenticación de correo electrónico y antiphishing. Estos incluyen sistemas de autenticación a nivel de dominio que verifican la identidad del dominio del que el correo electrónico afirma provenir (SPF y DKIM) y una tecnología relacionada que se puede utilizar para ordenar a los receptores de servicios de correo electrónico que rechacen la entrega de mensajes que afirman erróneamente que proceden de una dirección del dominio del remitente (DMARC).

De hecho, el personal de la FTC descubrió que sólo dos de las empresas de alojamiento web implementan SPF o DKIM de forma predeterminada y ninguna ofrece soporte para DMARC como una característica estándar de sus servicios de alojamiento. Además, tres de los 11 hosts no proporcionan ningún método para configurar DMARC. Aunque el uso de DMARC es posible con los otros ocho hosts, sus clientes de pequeñas empresas necesitarían tener un conocimiento independiente de DMARC y configurarlo por su cuenta - algo que una pequeña empresa que confía en la experiencia del proveedor de hosting es poco probable que haga.

Entre otras cosas, el personal de la FTC recomienda que las pequeñas empresas presten mucha atención a las características de seguridad ofrecidas por los alojadores web para que puedan elegir un proveedor que proteja sus sitios web y cuentas de correo electrónico con tecnologías SSL/TLS y de autenticación de correo electrónico. También insta a que los proveedores de web hosting implementen estas tecnologías para sus clientes de pequeñas empresas. Por último, recomienda que las publicaciones que revisan web hostings evalúen la disponibilidad de las tecnologías SSL/TLS y de autenticación de correo electrónico en sus revisiones.