Spoofing de correo electrónico

El spoofing de correo electrónico consiste en falsificar el encabezado de un mensaje con la esperanza de hacer creer al destinatario que el mensaje procede de una fuente distinta. Dado que los protocolos básicos de correo electrónico no disponen de un método de autenticación integrado, el spam y el phishing suelen recurrir a este método para que el destinatario confíe en el remitente.

El objetivo final del spoofing de correo electrónico es conseguir que los destinatarios abran e incluso respondan a una solicitud. Aunque los mensajes falsos no son más que una molestia que requiere poca acción aparte de su eliminación, las variedades más maliciosas pueden causar problemas importantes y, a veces, suponer una amenaza real para la seguridad.

Un ejemplo de correo electrónico falsificado sería un mensaje supuestamente procedente de una conocida empresa de venta al público en el que se pida al destinatario que facilite datos personales, como una contraseña o el número de una tarjeta de crédito. El correo falso puede incluso pedir al destinatario que haga clic en un enlace que ofrece una oferta por tiempo limitado, que en realidad es un enlace para descargar e instalar malware en el dispositivo del destinatario.

• El spoofing de correo electrónico consiste en hacerse pasar por una dirección de remitente de correo electrónico de confianza con el objetivo de ocultar la identidad de un ciberdelincuente.
• El Protocolo Simple de Transferencia de Correo (SMTP) carece de autenticación de correo electrónico, lo que facilita a los ciberdelincuentes falsificar las direcciones de correo electrónico de los remitentes. 
• El spoofing no debe confundirse con el phishing. El spoofing se centra en enmascarar la identidad del remitente, mientras que el phishing se centra en obtener información privada.
• El spoofing de correo electrónico es una táctica utilizada en la mayoría de los ataques de phishing.
• Los usuarios finales pueden buscar muchas señales para detectar el spoofing. Educar a los empleados sobre estas señales de advertencia suele ser la mejor línea de defensa contra estos ataques.

Al aprovechar la falta de autenticación integrada en los protocolos de correo electrónico básicos, los ciberdelincuentes idearon un método eficaz para suplantar la identidad de los destinatarios (spoofing) y hacerles confiar en el origen de un mensaje. Esta práctica se remonta a la década de los 70, cuando los hackers aprovechaban las vulnerabilidades de los protocolos de correo electrónico que carecían de autenticación.

Sin embargo, el spoofing del correo electrónico no despegó hasta los años 90, cuando los spammers empezaron a utilizarlo para saltarse los filtros. En los 2000, ya se había convertido en una amenaza mundial para la ciberseguridad.

En la actualidad, protocolos de seguridad como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-Based Message Authentication, Reporting, and Conformance (DMARC) ayudan a combatir el spoofing de correo electrónico. A pesar de estos avances, el spoofing de correo electrónico sigue siendo un problema importante ya que constituye uno de los principales vectores de las estafas de suplantación de correo electrónico empresarial (BEC) y los ataques de phishing, con casi 100 millones de correos electrónicos de phishing bloqueados diariamente por Google.

El phishing es un ataque de ingeniería social mediante el cual los ciberdelincuentes intentan engañar a las personas para que revelen información confidencial haciéndose pasar por una entidad legítima, normalmente a través de correos electrónicos o sitios web fraudulentos. El spoofing es una técnica utilizada para ocultar la identidad o el origen del remitente. Es una táctica frecuente en el phishing y otros ataques.

A continuación, se muestra una comparación entre el phishing y el spoofing:

Los ataques de phishing tienen como objetivo engañar a los usuarios para que divulguen datos personales o lleven a cabo acciones beneficiosas para el atacante. El spoofing, que suplanta la identidad de fuentes fiables, suele emplearse para que los intentos de phishing resulten más convincentes. Mientras que el phishing se dirige principalmente a la psicología humana, el spoofing aprovecha las vulnerabilidades técnicas para eludir las medidas de seguridad.

El spoofing de correo electrónico es posible porque el Protocolo Simple de Transferencia de Correo (SMTP) no ofrece un mecanismo de autenticación de direcciones. Aunque se han desarrollado protocolos y mecanismos de autenticación de direcciones de correo electrónico para luchar contra el spoofing, su adopción ha sido lenta.

El proceso de spoofing de correo electrónico generalmente incluye los siguientes pasos:

1. El atacante crea un correo electrónico con una dirección de remitente falsificada. 
2. Utilizan un servidor SMTP que no requiere autenticación o su propio servidor SMTP. 
3. El correo electrónico se envía a través de este servidor, el cual no verifica la autenticidad de la dirección del remitente. 
4. El servidor receptor procesa el correo electrónico en función de la información de los encabezados, que parece legítima.

Aunque se han desarrollado protocolos de autenticación como SPF, DKIM y DMARC para evitar el spoofing, su adopción ha sido gradual. Estos protocolos permiten a los propietarios de dominios especificar qué servidores de correo están autorizados a enviar correos electrónicos en su nombre y proporcionan firmas criptográficas para verificar la identidad del remitente.

Ejemplo: Supongamos que un falsificador de correo electrónico quiere asumir la identidad de un banco. Podría crear un correo electrónico con la siguiente información de encabezado:

Texto

De: atencionalcliente@bancolegitimo.com
A: victima@email.com
Asunto: Urgente: actualización de seguridad de la cuenta

A continuación, el atacante envía este correo electrónico a través de un servidor SMTP que no autentica al remitente. Cuando la víctima recibe el mensaje, parece proceder del servicio de atención al cliente de su banco. El mensaje puede contener un enlace de phishing o solicitar información confidencial y aprovechar la confianza asociada a la dirección falsificada.

Para protegerse de este tipo de situaciones, los proveedores de correo electrónico y las organizaciones aplican cada vez más protocolos de autenticación. Sin embargo, la eficacia de estas medidas depende de su adopción generalizada y de una configuración adecuada. Los usuarios pueden protegerse actuando con cautela ante correos electrónicos inesperados, verificando las direcciones del remitente y no haciendo clic en enlaces o archivos adjuntos sospechosos.

 

Aunque la mayoría de las veces se utiliza con fines de phishing, en realidad hay varias razones para hacer spoofing de las direcciones de los remitentes. Por ejemplo:

• Ocultar la verdadera identidad del remitente. Sin embargo, si este es el único objetivo, puede lograrse más fácilmente registrando direcciones de correo anónimas.
• Evitar las listas de bloqueo de spam. Si un remitente está enviando spam, es probable que se bloquee rápidamente. Una solución sencilla a este problema es falsificar las direcciones de correo electrónico.
• Hacerse pasar por alguien que el destinatario conoce. Un atacante podría hacerlo para aprovecharse de la confianza de la víctima en un conocido y solicitar información confidencial o acceso a bienes personales.
• Hacerse pasar por una empresa con la que el destinatario mantiene una relación. El objetivo aquí es conseguir los datos de acceso al banco u otros datos personales.
• Empañar la imagen del supuesto remitente. Puede tratarse de un ataque a la persona que desprestigie al supuesto remitente.
• Cometer robo de identidad. Un ejemplo podría ser una solicitud de información de las cuentas financieras o de salud de la víctima.

Aquí tiene una lista de características que pueden indicar que ha recibido un correo electrónico de spoofing:

• Dirección de correo electrónico del remitente sospechosa que no coincide con la identidad declarada (por ejemplo, un correo electrónico que dice provenir de Venmo con una dirección de venmo_security@outlook.com en lugar de un dominio legítimo de Venmo)
• Un nombre de usuario que no coincide con la dirección de correo electrónico real (por ejemplo, un correo electrónico de «Juan Gómez» procedente de una dirección de correo electrónico de jose.gomez@gmail.com).
• Lenguaje urgente o amenazante que crea una sensación de presión
• Solicitudes de información confidencial, como contraseñas o datos financieros
• Archivos adjuntos o enlaces inesperados
• Gramática deficiente, errores ortográficos o frases inusuales
• Saludos genéricos en lugar de personalizados (por ejemplo, «Estimado cliente» o «Estimado usuario»)
• Logotipos y marcas que no coinciden o son incorrectos
• Horarios de envío inusuales, especialmente fuera del horario comercial
• Solicitudes para eludir los procedimientos de seguridad normales
• Inconsistencias con las comunicaciones previas del supuesto remitente
• Encabezados de correo electrónico que muestran información de enrutamiento inesperada (por ejemplo, encabezados que indican que el correo electrónico fue enrutado a través de varios países, aunque el remitente sea supuestamente local)
• Enlaces que, cuando se pasa el cursor sobre ellos, revelan URL sospechosas (por ejemplo, dominios mal escritos o URL largas y demasiado complejas)
• El uso de dominios de correo electrónico públicos (por ejemplo, gmail.com) para comunicaciones comerciales oficiales

Dado que el protocolo de correo electrónico SMTP carece de autenticación, históricamente ha sido fácil falsificar la dirección de un remitente. Por este motivo, la mayoría de los proveedores de correo electrónico se han convertido en expertos en detectar el spam y alertar a los usuarios, en lugar de rechazarlo por completo.

Otras protecciones incluyen los marcos previamente mencionados que facilitan la autenticación de mensajes entrantes:

• SPF (Sender Policy Framework): significa «marco de política de remitentes» y permite combatir el spoofing de dominios al verificar si una IP concreta puede enviar correos desde un dominio determinado. Aunque el SPF puede dar lugar a falsos positivos, sí requiere que el servidor receptor compruebe un registro SPF y valide el remitente del correo electrónico.
• DKIM (Domain Key Identified Mail):significa «correo identificado con claves de dominio» y consiste en utilizar un par de claves criptográficas para firmar los mensajes salientes y validar los entrantes. Sin embargo, como DKIM solo se utiliza para firmar fragmentos concretos de un mensaje, el mensaje puede reenviarse sin alterar la validez de la firma. Esta técnica se conoce como «ataque de repetición».
• DMARC (Domain-Based Message Authentication, Reporting, and Conformance): significa «autenticación, informes y conformidad de mensajes basados en dominio» y es un método que ofrece al remitente la opción de informar al destinatario de si su correo electrónico está protegido por SPF o DKIM y qué medidas tomar cuando se trata de correo que no supera la autenticación. El uso de DMARC aún no está muy extendido.

El spoofing de correo electrónico no siempre es fácil de identificar. Sin embargo, con la formación adecuada para identificar correos electrónicos de spoofing y comprender los matices de la seguridad del correo electrónico, las organizaciones pueden proteger su infraestructura digital y sus valiosos datos de este popular vector de ataques.

¿No sabe por dónde empezar? Nunca está de más buscar el consejo de expertos en seguridad de correo electrónico. Deje que el equipo de Barracuda ponga a su servicio nuestros amplios conocimientos sobre ciberseguridad. Programe su demostración de protección del correo electrónico hoy mismo y déjenos guiarle hacia unas comunicaciones más seguras.