El email spoofing es uno de los principales problemas de seguridad que existen en materia de correos electrónicos. Se trata de una técnica de suplantación de identidad muy utilizada en estafas y robos de datos mediante emails. En esta oportunidad te vamos a contar todo lo que necesitas saber sobre el email spoofing, incluyendo cómo funciona y cómo protegernos.
Contenido
¿Qué es el email spoofing?
Hoy en día el email sigue siendo uno de los medios de comunicación más utilizados a nivel mundial, y esto lo convierte en uno de los objetivos principales de los criminales de Internet.
Aquí es donde entra en juego el famoso email spoofing, que es una práctica maliciosa extremadamente común. El email spoofing es un tipo de ataque en donde una persona malintencionada se hace pasar por alguien que no es mediante la modificación de las cabeceras del correo. Esto hace parecer que el correo se origina en una fuente legítima, pero no es así.
El objetivo del email spoofing con frecuencia incluye el robo de información importante o sensible, el robo de dinero mediante transferencias, o la descarga de malware para infectar sistemas y dispositivos. Aquí debajo vemos un ejemplo de cómo se puede ver un email spoofing, en este caso es un intento de phishing que busca que el receptor introduzca sus credenciales de acceso en un sistema ilegítimo
Lo que hace que el email spoofing sea una amenaza tan grande es que se trata de un método simple y muy efectivo. Los atacantes son capaces de crear mensajes que se ven prácticamente idénticos al mensaje legítimo de bancos, empresas o colegas de trabajo, y así logran engañar al receptor.
Este tipo de ataques a menudo deriva en casos de phishing e instalación de ransomware, los cuales pueden dañar en gran medida tanto a compañías e instituciones como también a personas.
Debido a todo esto y a la gran importancia que sigue teniendo el correo electrónico actualmente, es importante conocer cómo funciona el email spoofing para así saber qué es lo que se debe hacer para detenerlo.
Su funcionamiento
El email spoofing opera de una forma muy sencilla: manipulando las cabeceras de un mensaje de correo electrónico, de forma tal que se busca engañar al receptor para que piense que el email proviene de una fuente legítima.
Quienes realizan ataques de email spoofing toman ventaja del protocolo SMTP, que es el protocolo estándar para el envío de emails. Debido a que el SMTP no incorpora mecanismos de autenticación, es posible para el atacante simplemente manipular el campo “De” del mensaje, cambiándolo para que parezca que el correo se originó en una fuente confiable.
A grandes rasgos, el email spoofing consiste en manipular las cabeceras del correo, cambiando diversos datos importantes como el nombre del emisor, su dirección y su dominio. Los atacantes modifican esta información para que el correo parezca legítimo frente a los ojos de receptores desprevenidos.
A modo de ejemplo, un email spoofing típico consiste en hacer parecer que un correo procede de una entidad bancaria, por ejemplo soporte@mibanco.com, cuando en realidad la verdadera dirección de origen del correo es otra.
En general en el spoofing de correos se emplean dos métodos: uno consiste en cambiar el nombre que se muestra en el correo, por ejemplo que parezca que dice Soporte de MiBanco, con una dirección de email alterada acorde.
El otro método es un spoofing de dominio, que consiste en utilizar un dominio muy parecido al del original, por ejemplo si el dominio original es mibanco.com pueden intentar suplantarlo con mibancoo.com, o mibanco.co, o similares.
Dado que el SMTP por defecto no verifica la identidad del emisor, el email spoofing se ha convertido en una práctica muy común y muy exitosa a la hora de engañar a los recipientes menos atentos.
Tipos de ataque de email spoofing
El email spoofing es el pilar de varios tipos de ataques, todos los cuales se basan en abusar de la confianza y desconocimiento del receptor, manipulándole para distintos fines. Entre los tipos más comunes encontramos los ataques de phishing, ataques BEC, distribución de malware, ataques de spear phishing y de fraude del CEO.
El phishing es el tipo de ataque más común dentro del email spoofing. En este tipo de ataques, un tercero malintencionado busca hacerse pasar por alguien que no es, por ejemplo una entidad bancaria, una empresa o incluso un colega de trabajo, con el fin de obtener datos, como puede ser por ejemplo credenciales de acceso, información sensible, detalles bancarios, entre otros. Con frecuencia este tipo de ataque contiene enlaces hacia sitios web que parecen legítimos pero no lo son, se trata de copias diseñadas para obtener datos sensibles.
Los ataques de phishing buscan crear una sensación de urgencia en el receptor, llevándolo a actuar sin pensar detenidamente. A menudo para provocar esa urgencia se utilizan mensajes que indican que una cuenta ha sido comprometida, o que será suspendida, o que hay un pago pendiente y se debe realizar cuanto antes para evitar cortes de servicio, etc.
Los ataques BEC (Business Email Compromise) están orientados a compañías, y a menudo lo que se busca es hacerse pasar por algún alto cargo de la misma para instalar en el receptor esa sensación de urgencia. El objetivo en este tipo de ataque es que se realicen transferencia de dinero o que se brinden datos sensibles, de forma que suelen estar orientados a departamentos de finanzas o de recursos humanos, y no tanto a departamentos técnicos donde tienen menos probabilidades de éxito.
Un ataque BEC puede ser extremadamente desastroso para una empresa, dependiendo de lo que se busque, ya que puede llevarle a la ruina económica o a tener serias consecuencias legales.
La distribución de malware también es muy común entre los ataques de email spoofing. En este caso, el mensaje falsificado incluye algún archivo adjunto malicioso o bien contiene un link hacia un sitio malicioso, el cual al ser abierto realiza una descarga de software malicioso al dispositivo del usuario.
El malware en cuestión puede variar, pueden ser troyanos, spyware, keyloggers e incluso ransomware. Este último es quizá el más común, ya que básicamente encripta el sistema del usuario y obliga a pagar un rescate para poder recuperar la información. Es una forma en que los criminales pueden ganar dinero rápidamente si se accede a su demanda.
El spear phishing es un ataque de phishing especial diseñado para ser lanzado contra una individuo en específico, o contra un área específica de una empresa. Son emails altamente detallados, que con frecuencia incluyen el nombre del receptor, su título e información sobre sus actividades recientes, todo con el objetivo de ganar su confianza.
Este tipo de ataque es más complejo que un phishing generalizado, requiere más investigación por parte del atacante, pero a su vez suele ser más efectivo dado que se ve mucho más confiable. A modo de ejemplo, un ataque de este tipo puede hacer parecer que el email viene de un colega de trabajo, solicitando archivos importantes o credenciales de acceso.
Y finalmente tenemos al fraude del CEO, un ataque bastante parecido al BEC ya mencionado, de hecho podríamos clasificarlo como un ataque BEC más especializado. En un ataque de fraude del CEO, el atacante se hace pasar por un alto ejecutivo de una empresa, a menudo el CEO o director, y es lanzado contra empleados de bajo rango o novatos, solicitando algún tipo de acción inmediata, como puede ser pagos, transferencia de archivos o credenciales, haciendo uso de la autoridad de un cargo superior.
El fraude del CEO es un ataque de email spoofing relativamente exitoso y se basa enteramente en la dinámica de poder que hay dentro de las empresas, donde un empleado de bajo rango probablemente se lo pensaría dos veces antes de cuestionar al director de la compañía o a su empleador.
Cómo combatir el email spoofing
El email spoofing se combate en dos frentes: del lado del emisor y del lado del receptor. Lo que el emisor busca es que sus direcciones y dominios no sean usados en email spoofing, y lo que el emisor busca es no recibir emails engañosos o bien saber detectarlos. Veamos ambos frentes.
De parte del emisor, la práctica más común para evitar que un dominio o una cuenta sea usada para spoofing, es utilizar los registros DKIM, SPF y DMARC. Trabajando en conjunto, estos tres sistemas se convierten en un poderoso mecanismo de autenticación, validando si un correo procede de su fuente legítima.
El registro SPF funciona indicando cuáles son los servidores que tienen autorización para enviar emails en nombre de un dominio. Dicho de otra forma, si un correo procede de un servidor que no está autorizado en el SPF entonces lo más probable es que no sea legítimo.
El registro DKIM añade una firma criptográfica al correo, lo cual sirve para que el receptor se asegure de que el mismo no ha sido alterado durante el viaje desde el servidor emisor.
Y el registro DMARC es un mecanismo que trabaja en conjunto con el SPF y el DKIM, permitiendo al administrador de un dominio decidir cómo se deben procesar los emails que no pasen las verificaciones de SPF y DKIM. Las opciones generalmente implican que el correo sea rechazado o que sea puesto en cuarentena.
Del lado del receptor el panorama es un poco distinto. Primero que nada, el servidor receptor debe verificar que el correo recibido provenga de una fuente legítima. Lo bueno es que la mayoría de los servidores hoy en día ya hacen esto automáticamente, aunque si el emisor no tiene el SPF y DKIM correctamente configurados puede que la verificación no sea efectiva.
Asumiendo que un mensaje de spoofing logra llegar a la bandeja de entrada del receptor, lo que se debe proceder a hacer es examinar el email en cuestión. Recordemos que los emails de spoofing buscan crear una sensación de urgencia, así que ese es el primer signo de que podemos estar ante un correo de este tipo.
Lo primero a examinar es la la dirección de procedencia, para asegurar que la cuenta emisora sea correcta y no que sea una muy similar, por ejemplo no es lo mismo soporte@mibanco.com que soporte@mibanco.co, o que soporte@mibancoo.com, las variaciones son pequeñas pero están ahí.
En segundo lugar se deben revisar las cabeceras del correo, para ver si el email procede de un servidor legítimo. Se deben buscar discrepancias entre el servidor emisor y la cuenta que se quiere aparentar.
Como tercer punto, se debe examinar detenidamente el contenido del correo, recordemos como ya dijimos que generalmente se busca presionar al receptor para que haga algo de forma urgente, así que mensajes como “Accede ahora”, o “Evita recargos”, o “Ingresa aquí para que tu cuenta no sea suspendida”, son muy frecuentes y un típico indicador de que estamos ante un correo ilegítimo. También en el contenido puede haber links extraños e incluso el correo puede contener adjuntos peligrosos.
Otras medidas muy efectivas para combatir el spoofing como receptores son el software antispam y antispoofing, y proteger nuestra cuenta con 2FA. Esto último es muy útil en caso de que el atacante logre robarnos credenciales de acceso, ya que incluso con esa información no podrán acceder a la cuenta si no logran completar la autenticación 2FA.
Y por supuesto debemos recordar que cuando de emails se trata todos somos receptores y emisores, así que todos tenemos que combatir el email spoofing en estos dos frentes. Debemos proteger nuestros propios dominios y cuentas con sistemas como SPF, DKIM y DMARC, y también tenemos que protegernos frente a emails de spoofing que podamos recibir.
Conclusión
El email spoofing es uno de los problemas de seguridad más serios en lo que al correo electrónico refiere ya que es un ataque fácil de desplegar y que puede tener consecuencias nefastas, como robo de datos, transferencia de dinero fraudulentas, y mucho más.
Afortunadamente se pueden tomar medidas para proteger nuestros dominios usando SPF, DKIM y DMARC, así evitamos que un dominio de nuestra propiedad sea utilizado en ataques de spoofing. Y como receptores, para evitar ser engañados por un atacante debemos educarnos en materia de seguridad y aprender a distinguir este tipo de correos maliciosos.