La suplantación de identidad por correo electrónico es la fabricación de un encabezado de correo electrónico con la esperanza de engañar al destinatario para que piense que el correo electrónico se originó en alguien o en algún lugar que no sea la fuente prevista. Debido a que los protocolos de correo electrónico básicos no tienen un método de autenticación incorporado, es común que los correos electrónicos no deseados y de phishing utilicen dicha suplantación de identidad para engañar al destinatario para que confíe en el origen del mensaje.
El objetivo final de la suplantación de identidad por correo electrónico es lograr que los destinatarios abran y posiblemente incluso respondan a una solicitud. Aunque los mensajes falsificados suelen ser solo una molestia que requiere poca acción además de eliminarlos, las variedades más maliciosas pueden causar problemas importantes y, a veces, representan una amenaza real para la seguridad.
Por ejemplo, un correo electrónico falsificado puede pretender ser de una empresa minorista conocida y pedirle al destinatario que proporcione información personal como una contraseña o un número de tarjeta de crédito. El correo electrónico falso podría incluso pedirle al destinatario que haga clic en un enlace que ofrece una oferta por tiempo limitado, que en realidad es solo un enlace para descargar e instalar malware en el dispositivo del destinatario.
Un tipo de phishing, utilizado en el compromiso de correo electrónico comercial, implica la suplantación de correos electrónicos del CEO o CFO de una empresa que trabaja con proveedores en países extranjeros, solicitando que las transferencias bancarias al proveedor se envíen a una ubicación de pago diferente.
Cómo funciona la falsificación de correo electrónico
La suplantación de correo electrónico es posible porque el Protocolo simple de transferencia de correo (SMTP) no proporciona un mecanismo para la autenticación de direcciones. Aunque se han desarrollado protocolos y mecanismos de autenticación de direcciones de correo electrónico para combatir la suplantación de identidad por correo electrónico, la adopción de esos mecanismos ha sido lenta.
Razones para la falsificación de correo electrónico
Aunque es más conocido por fines de phishing, en realidad existen varias razones para falsificar las direcciones de los remitentes. Estas razones pueden incluir:
- Ocultar la verdadera identidad del remitente, aunque si este es el único objetivo, se puede lograr más fácilmente registrando direcciones de correo anónimas.
- Evitar las listas de bloqueo de spam. Si un remitente está enviando spam, es probable que se bloquee rápidamente. Una solución simple a este problema es cambiar las direcciones de correo electrónico.
- Hacerse pasar por alguien que el destinatario conoce, para, por ejemplo, solicitar información sensible o acceder a bienes personales.
- Pretender ser de una empresa con la que el destinatario tiene una relación, como medio para obtener los datos de inicio de sesión bancarios u otros datos personales.
- Empañar la imagen del supuesto remitente, un ataque de carácter que coloca al supuesto remitente en una mala posición.
- El envío de mensajes en nombre de alguien también se puede utilizar para cometer robo de identidad, por ejemplo, al solicitar información de las cuentas financieras o de atención médica de las víctimas.
Protecciones contra la falsificación de correo electrónico
Dado que el protocolo de correo electrónico SMTP (Protocolo simple de transferencia de correo) carece de autenticación, históricamente ha sido fácil suplantar la dirección de un remitente. Como resultado, la mayoría de los proveedores de correo electrónico se han vuelto expertos en detectar y alertar a los usuarios sobre el spam, en lugar de rechazarlo por completo. Pero se han desarrollado varios marcos para permitir la autenticación de los mensajes entrantes:
- SPF (Sender Policy Framework): comprueba si una determinada IP está autorizada para enviar correo desde un dominio determinado. SPF puede conducir a falsos positivos y aún requiere que el servidor receptor haga el trabajo de verificar un registro SPF y validar el remitente del correo electrónico.
- DKIM (correo identificado con clave de dominio): este método utiliza un par de claves criptográficas que se utilizan para firmar los mensajes salientes y validar los mensajes entrantes. Sin embargo, debido a que DKIM solo se usa para firmar partes específicas de un mensaje, el mensaje se puede reenviar sin romper la validez de la firma. Esta técnica se conoce como «ataque de repetición».
- DMARC (Autenticación, informes y conformidad de mensajes basados en dominios): este método le da al remitente la opción de informar al receptor si su correo electrónico está protegido por SPF o DKIM, y qué acciones tomar cuando se trata de correo que falla en la autenticación. DMARC aún no se usa ampliamente.
Cómo se falsifican los correos electrónicos
La forma más fácil de falsificar correos es que el atacante encuentre un servidor de correo con un puerto SMTP (Protocolo simple de transferencia de correo) abierto. SMTP carece de autenticación, por lo que los servidores que están mal configurados no tienen protección contra posibles ciberdelincuentes. También es cierto que no hay nada que impida que determinados atacantes configuren sus propios servidores de correo electrónico. Esto es muy común en casos de fraude de CEO/CFO. Los atacantes registrarán dominios que se confunden fácilmente con la empresa de la que se hacen pasar, desde donde se origina el correo electrónico, p. “@example.com” en lugar de “@example.com”. Dependiendo del formato del correo electrónico, puede ser extremadamente difícil para un usuario regular notar la diferencia.
Aunque la suplantación de correo electrónico es efectiva para falsificar una dirección de correo electrónico, la dirección IP de la computadora que envía el correo generalmente se puede identificar a partir de la línea «Recibido:» en el encabezado del correo electrónico. Esto se debe con frecuencia a que un tercero inocente se infecta con malware, que secuestra el sistema y envía correos electrónicos sin que el propietario se dé cuenta.
Por qué es importante la falsificación de correo electrónico
Para evitar convertirse en víctima de la suplantación de identidad por correo electrónico, es importante mantener actualizado el software antimalware y tener cuidado con las tácticas utilizadas en la ingeniería social. Cuando no esté seguro de la validez de un correo electrónico, comunicarse directamente con el remitente, especialmente si comparte información privada o financiera, puede ayudar a evitar un ataque.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.