Utilizado para el phishing y otros ataques de ingeniería social, la suplantación de identidad por correo electrónico es terriblemente complicada. Bien ejecutado, es difícil de detectar y engaña al destinatario.
Para contrarrestarlo, existen soluciones técnicas que se pueden implementar cuando configura sus servidores de correo. Veremos los tres elementos imprescindibles a instalar para evitar la suplantación de correo electrónico: SPF, DKIM y DMARC.
¿Qué es la suplantación de identidad por correo electrónico?
Para comprender la suplantación de correo electrónico, echemos un vistazo a cómo funciona el correo electrónico. Los correos electrónicos se enrutan a través del protocolo SMTP para llegar a los servidores de correo del destinatario.
SMTP es un protocolo desde el comienzo de Internet y ha evolucionado poco desde entonces. Por lo tanto, cualquier servidor puede enviar un correo electrónico mostrando cualquier dirección de correo electrónico. De hecho, el campo del remitente (de) es solo un campo de texto entre otros, no protegido. Es por eso que la suplantación de identidad es posible.
La suplantación de identidad por correo electrónico consiste en hacerse pasar por una dirección de correo electrónico al enviar un mensaje. El objetivo es ocultar el origen real del remitente y hacer que parezca una dirección de confianza.
Varios tipos de ataques de phishing utilizan la suplantación de direcciones de correo electrónico para hacerlos más creíbles.
Hoy nos enfocamos en la suplantación de identidad por correo electrónico, pero la suplantación de identidad cubre una variedad de técnicas para apoderarse de la identidad de alguien. Por ejemplo, algunos ataques aprovechan la suplantación de identidad telefónica, es decir, suplantar un número de teléfono. Otros ataques utilizan la suplantación de ARP, la suplantación de DNS, etc.
La suplantación de identidad por correo electrónico hace que el phishing sea más peligroso
El phishing utiliza muy a menudo la suplantación de correo electrónico, ya que hace que el correo electrónico parezca que proviene de un remitente conocido o confiable. En los casos de phishing ‘clásico’, así como en ataques BEC o de spear-phishing más sofisticados, la suplantación de identidad por correo electrónico hace que los pretextos sean creíbles o más fuertes.
De hecho, desde los primeros correos electrónicos de estafa y phishing, todos hemos aprendido a desconfiar de los mensajes con faltas de ortografía evidentes, solicitudes exageradas, a no seguir enlaces inusuales, etc.
Pero los atacantes se han adaptado y el phishing ha evolucionado. Hoy en día, los correos electrónicos de phishing respetan mayoritariamente los códigos actuales de contenido y formato (firma, logotipo, botón para incitar a hacer clic…).
La suplantación de identidad por correo electrónico es un elemento adicional para que los objetivos se sientan seguros, al darles la impresión de intercambiar con un contacto conocido u oficial. Por lo tanto, es más probable que hagan clic en un enlace o que respondan a una solicitud de información confidencial.
Suplantación de identidad por correo electrónico y ataques homógrafos, dos caras de una moneda
Podemos distinguir dos ‘formas’ de suplantación de identidad:
- Suplantación de identidad que falsifica una dirección de correo electrónico real;
- o el uso de otra dirección de correo electrónico, que es muy similar visualmente o creíble en el escenario de phishing. Estos se llaman ataques homógrafos.
Tomemos grace.hopper@sciences.com como ejemplo para explicar los ataques homógrafos. Se basan en varios «trucos» para hacerse pasar por la persona u organización deseada:
- Cambiar, invertir, agregar o eliminar caracteres: grace.hopper@scie m ces.com
- Uso de caracteres no latinos (caracteres no ASCII): grace.hopper@scie п ces.com
- Uso de un dominio cercano o creíble en el ataque: grace.hopper@sciences. nosotros ; grace.hopper@ciencia.com _ _
El único límite en las posibilidades de variación es la imaginación de los atacantes y las restricciones de SMTP (caracteres no admitidos, restricciones relacionadas con los TLD…). Puede detectar ataques de homógrafos mirando detenidamente la dirección del remitente. A veces, debe hacer clic en ‘Responder al mensaje’ para ver la dirección de respuesta real, si el atacante también mostró otra dirección de remitente.
La dificultad, cuando conoces el contacto, es reconocer al remitente de un vistazo sin leer la dirección y empezar a procesar el email. Ocupado en un día laboral, es fácil caer en la trampa.
Los ataques homógrafos se usan con más frecuencia que la suplantación de identidad por correo electrónico, ya que se ha vuelto más difícil de ejecutar. Los filtros de spam y otros indicadores del servicio de correo electrónico se basan en la ausencia de los tres protocolos para clasificar los correos electrónicos como spam o phishing.
Por lo tanto, es esencial configurar SPF, DKIM y DMARC para que:
- los correos electrónicos falsos se detectan antes de que lleguen a los buzones de correo,
- que los atacantes no falsifiquen su dominio,
- y que tus emails lleguen correctamente a tus destinatarios.
El protocolo SPF: asegurando los servidores de envío
El primer paso es declarar los servidores. El estándar SPF (Sender Policy Framework) es un registro DNS que define los servidores de correo autorizados para enviar mensajes para su dominio. Este protocolo permite listar los servidores y las direcciones IP autorizadas para usar el nombre de dominio. Este es el primer paso para autenticar sus correos electrónicos.
De hecho, cuando se envía un mensaje de su organización, los servidores de correo del destinatario verifican que el correo proviene de uno de los dominios autorizados. Si no proviene de un dominio autorizado, el mensaje llegará como spam.
Los registros SPF mal configurados pueden causar problemas de entrega. Dependiendo del proveedor de soluciones de correo electrónico que utilice, generalmente brindan pautas para la configuración. También puede consultar estas mejores prácticas al configurar SPF .
DKIM: firma y autenticación de mensajes
Como segunda medida, se debe instalar el protocolo DKIM (o DomainKeys Identified Mail). Define la autenticación del dominio de envío de correo electrónico gracias a un par de claves privadas y públicas. Las claves permiten firmar y validar el origen de los mensajes.
De hecho, es una firma puesta en su registro DNS, que incluye la identidad del firmante.
En concreto, la firma se añade a la cabecera de los correos electrónicos salientes utilizando la clave privada. Cuando los servidores del destinatario reciben el correo electrónico, verifican con la clave pública la fuente del mensaje y si el mensaje ha sido modificado.
El protocolo DKIM es un complemento de SPF y ayuda a determinar si el mensaje debe considerarse spam o no.
DMARC: verificando la aplicación de los protocolos SPF y DKIM
DMARC (Autenticación, informes y conformidad de mensajes basados en dominio) viene junto a SPF y DKIM. El registro DMARC verifica la aplicación de los protocolos SPF y DKIM, y en particular la correspondencia entre la cabecera y el dominio emisor.
Puede usar esta herramienta para verificar la configuración de SPF, DKIM y DMARC.
Define las reglas a seguir si un mensaje falla en estas comprobaciones. Hay tres opciones: Rechazar, Poner en cuarentena o No hacer nada. Puede configurar las reglas para aceptar una alineación suave o dura.
Finalmente, el protocolo DMARC envía informes que muestran mensajes validados y no validados de su dominio. Esto puede ser útil para identificar posibles amenazas, abusos o fallas de configuración.
BIMI: una indicación visual opcional
Finalmente, es posible otra configuración opcional: el BIMI (Indicadores de Marca para Identificación de Mensajes). No se trata de un elemento técnico que refuerza la seguridad, sino de un complemento visual que da una indicación de la identidad del remitente.
Muestra el logotipo de la marca directamente en la bandeja de entrada. Solo puede agregar BIMI si tiene los protocolos SPF, DKIM y DMARC activos, y si la política DMARC está en cuarentena o rechazada.
Implementado desde 2019, no todos los proveedores de correo electrónico (por ejemplo, Outlook y Office365) admiten BIMI todavía.
Si la idea es interesante para fortalecer la confianza al saber qué imagen se suele mostrar junto a un contacto, no garantiza la protección contra el phishing.
De hecho, un atacante podría muy bien buscar qué imagen usa la organización que quiere suplantar, luego configurar un dominio con SPF, DKIM y DMARC y asociarlo con la misma imagen. El BIMI será entonces una desventaja, ya que los usuarios sospecharán aún menos de este correo electrónico.
¿Cómo protegerse de la suplantación de identidad y el phishing?
Estos tres protocolos permiten limitar los riesgos de suplantar una dirección de correo electrónico exacta. También se utilizan para proteger dominios que no envían o ya no envían correos electrónicos. Puedes consultar este recurso donde se detallan las configuraciones a realizar para estos casos.
Gracias a la adopción de estas protecciones, la suplantación de identidad por correo electrónico es mucho menos común que antes.
Por otro lado, los atacantes utilizan cada vez más la ‘suplantación de identidad visual’, es decir, los ataques homógrafos, en el phishing. Para contrarrestar estos ataques, la clave es concienciar a los equipos. Necesitan adquirir los medios para contrarrestar los ataques de phishing, desde pistas para identificar correos electrónicos sospechosos hasta los mecanismos psicológicos utilizados por el phishing .
El phishing sigue siendo un método de ataque extremadamente eficaz, ya que las técnicas y los pretextos inventados por los atacantes se renuevan constantemente. Cabe señalar que el phishing es mucho más que la suplantación de identidad por correo electrónico.
Además de la formación, una auditoría de ingeniería social proporciona los medios para poner a prueba los reflejos de los equipos mediante la realización de ataques adaptados al contexto. Gracias a situaciones de la vida real, los empleados se vuelven más conscientes de las amenazas a las que se enfrentan y también recordarán mejor las situaciones de riesgo.
Neothek ofrece servicios de correo electrónico, web hosting, registro de dominios, certificados SSL, diseño de páginas web y diseño gráfico.
