¿Qué es el spoofing de correo electrónico y cómo detenerlo?

El spoofing de correo electrónico es sinónimo de ataque de phishing. Ha sido un problema desde los años 70 y comenzó con los spammers usándolo para eludir los filtros de spam de correo electrónico. Se envían más de 3 mil millones de correos electrónicos falsos por día y esta es una importante amenaza para la seguridad cibernética. En este artículo, veremos la definición de spoofing de correo electrónico, cómo funciona, las razones detrás de ella y cómo prevenirla.

¿Cómo funciona el spoofing de correo electrónico?

La suplantación de correo se puede lograr porque el Protocolo simple de transferencia de correo (SMTP) no proporciona autenticación de dirección. De esta manera, la suplantación de identidad se puede ejecutar simplemente con un servidor SMTP que funcione y un cliente de correo electrónico (como Outlook o MacMail). Una vez que se redacta el mensaje de correo electrónico, el atacante puede alterar los campos del encabezado del correo electrónico como From, Reply-To y Return-Path.

Cuando el destinatario recibe el mensaje, parece como si fuera enviado por alguien que conoce o en quien puede confiar, generalmente un colega, proveedor o una marca popular. Contando con su confianza, el spoofer puede pedirle al destinatario los detalles de la tarjeta de crédito, hacer clic en un enlace malicioso o transferir fondos.

Por ejemplo, un atacante puede generar un mensaje que parece enviado desde el “Bank of America”. El mensaje implicaría urgencia y solicitaría al destinatario cambiar su contraseña o autenticarse a través de un enlace proporcionado. Si es engañado con éxito y cumple con las demandas del mensaje, el atacante obtiene acceso a su cuenta bancaria.

Las estafas más complejas se dirigen a empresas, organizaciones e individuos que realizan transferencias de fondos, en ataques de compromiso de correo electrónico comercial (BEC). Según el Informe sobre delitos internacionales del FBI para 2020, se informaron más de $ 1.8 mil millones en pérdidas debido a la sofisticación variada y en evolución de los ataques BEC. Estos incluyen el compromiso de los correos electrónicos personales y de los proveedores, el fraude del CEO, las cuentas de correo electrónico falsificadas de los abogados, el robo de identidad y la conversión de fondos en criptomonedas.

Los proveedores de servicios de correo electrónico implementan medidas de seguridad por defecto, sin embargo, la suplantación de identidad no necesita eludirlas, ya que SMTP no requiere autenticación. Esta técnica aprovecha el factor humano en lugar de implementaciones de seguridad, lo que la hace mucho más peligrosa. La mayoría de los usuarios no suelen revisar el encabezado de los mensajes que reciben. Además, falsificar un mensaje de correo electrónico es relativamente fácil para los piratas informáticos, ya que no se necesitan conocimientos técnicos profundos.

¿Cuáles son las diferentes técnicas de spoofing?

Hay varios métodos para falsificar un correo electrónico falsificando su sintaxis. Apuntan a diferentes partes del mensaje. A continuación, explicaremos cada una de estas técnicas para ayudarte a entenderlas mejor.

Suplantación de nombre para mostrar

Un tipo común de spoofing de correo electrónico es el spoofing de nombre para mostrar, en el que el nombre para mostrar del remitente se falsifica. Básicamente, puedes hacer esto creando una nueva cuenta de Gmail con el nombre del contacto que deseas suplantar.

Aunque la sección mailto: muestra la dirección de correo electrónico real, a primera vista, el mensaje puede parecer legítimo para el usuario. Dichos mensajes no se filtran como spam, ya que provienen de una dirección de correo electrónico real. Este es un exploit de las interfaces de usuario que se esfuerza por ser intuitivo y, por lo tanto, muestra menos información.

La mayoría de las aplicaciones de cliente de correo electrónico no muestran los metadatos de un mensaje. Las aplicaciones de correo electrónico móviles generalmente muestran solo el nombre para mostrar, lo que facilita aún más la suplantación de identidad.

Spoofing con dominios legítimos

Otra forma de suplantación de identidad es la suplantación de dominio, donde el objetivo del atacante es lograr una mayor credibilidad. Usaría una dirección de correo electrónico confiable en un servidor SMTP comprometido que no requiere autenticación para cambiar las direcciones De y Para en el mensaje. De esta manera, tanto el nombre para mostrar como la dirección de correo electrónico podrían confundirte.

Spoofing de correo electrónico con dominios similares

Imagina que un dominio está protegido y no se puede falsificar. En estas circunstancias, el estafador puede registrar un dominio similar al nombre de dominio suplantado, es decir, @paypal1.com en lugar de @paypal.com. Para el lector inadvertido, este cambio puede ser demasiado pequeño para darse cuenta. Por lo tanto, el atacante infunde un sentido de autoridad y puede atraer al objetivo para que proporcione datos privados o transfiera fondos.

Como la mayoría de los usuarios tienden a no leer los encabezados de cada mensaje que reciben, este tipo de spoofing resulta altamente efectivo. El software de spam tampoco filtraría estos mensajes ya que provienen de un buzón existente. Investigar los metadatos de los mensajes de correo electrónico es el método probado para confirmar su autenticidad.

Razones para la suplantación de identidad

Más comúnmente, los hackers usan spoofing para enviar correos electrónicos de phishing. Aún así, el razonamiento detrás de esto puede incluir:

• Ocultar la verdadera identidad del remitente: los atacantes generalmente usan esta táctica como parte de otro ciberataque. Esto también se puede lograr registrando una dirección de correo electrónico anónima.
• Evitar filtros de spam y listas negras: es probable que los mensajes de spam sean detectados por el software de protección contra spam. Por ejemplo, en SiteGround hemos integrado Protección anti spam ya que son líderes en el mercado de la seguridad del correo electrónico. Este servicio te permite bloquear mensajes por dominio o dirección de correo electrónico. Dado que los spammers están intentando eludir dichos filtros, pueden resolver cambiar entre cuentas de correo electrónico.
• Fingir ser una persona de confianza que conoce: es más probable que divulgue información confidencial a alguien que conoce, como un colega o un amigo. De esta manera, el atacante puede obtener acceso a sus activos financieros.
• Fingiendo ser una organización comercial confiable – Por ejemplo, el hacker se hace pasar por una institución financiera para obtener las credenciales de su cuenta bancaria.
• Para manchar la reputación del supuesto remitente: los atacantes pueden usar el spoofing de correo electrónico para manchar el carácter de una entidad comercial o persona.
• Robo de identidad: haciéndose pasar por la víctima objetivo y solicitando información de identificación personal.
• Para propagar malware: los hackers insertan archivos adjuntos infectados en correos electrónicos falsificados para iniciar y propagar malware.

¿Cómo me protejo de la suplantación de identidad por correo electrónico?

Es posible que la suplantación de correo te afecte como la persona que recibe el correo electrónico falsificado o la persona cuyo correo electrónico fue falsificado. Dado que la autenticación está ausente en el Protocolo simple de transferencia de correo, se han desarrollado varios marcos para detener la suplantación de correo.

¿Cómo evitar la falsificación de correos desde mi dirección de correo electrónico?

Si alguien está falsificando tu dirección de correo electrónico, deberías considerar implementar las siguientes soluciones para evitarlo.

• Sender Policy Framework (registro SPF): valida el remitente de correo electrónico de un mensaje comprobando si la IP de origen está autorizada para enviar desde el nombre de dominio dado. Este registro DNS está habilitado por defecto para tu nombre de dominio en nuestra zona DNS. Puedes administrarlo desde Site Tools > Email > Autenticación > SPF
• DomainKeys Identified Mail (DKIM): este mecanismo utiliza un par de claves cifradas para firmar los mensajes salientes y validar los mensajes entrantes. DKIM está habilitado por defecto en nuestra zona DNS.
• Autenticación, informes y conformidad de mensajes basados en el dominio (DMARC): esto permite al remitente informar al destinatario si su correo electrónico está protegido por SPF o DKIM. Además, ¿qué acciones debe tomar el destinatario cuando se trata de correo que falla en la autenticación? El registro de correo electrónico todavía no se usa con mucha frecuencia. Créalo desde Site Tools > Dominio> Editor de zona DNS > Selecciona el dominio deseado> añadir registro TXT.

¿Cómo evitar ser víctima de spoofing?

Para evitar ser víctima de spoofing de correo electrónico, debes asegurarte de tener en cuenta lo siguiente:

• Asegúrate de que tu software antivirus esté siempre actualizado y sé consciente de las tácticas utilizadas en la ingeniería social.
• Si no estás seguro de la validez de un mensaje, investiga su encabezado y busca una respuesta PASA o FALLA en la sección SPF recibido. Cada cliente de correo electrónico requiere diferentes pasos para ver los encabezados de correo electrónico, así que aprende a ver los encabezados en la aplicación de correo electrónico que estás utilizando.
• Sospecha de los mensajes enviados desde organizaciones supuestamente respetadas, que contienen gramática y ortografía deficientes..
• Usa cuentas de correo prescindibles al registrarte en sitios web para evitar ser añadido a listados dudosos y envío masivo..
• No reveles información personal en correos electrónicos. Esta práctica puede limitar significativamente los efectos de la suplantación de correo.
• Usa la solución de Protección contra spam de SiteGround que protegerá tus cuentas de correo electrónico contra el spam.
• Protege tu dominio de ser falsificados por spammers usando registros SPF, DKIM y DMARC.
• Usa protocolos de correo seguro para configurar tus clientes de correo locales.

En resumen, no hay mucho que podamos hacer para arreglar el spoofing de correo electrónico, ya que evoluciona constantemente con el progreso técnico. Sin embargo, podemos ser conscientes de ello e inculcar buenas prácticas para asegurar nuestros canales de comunicación. Nos esforzamos por mantener actualizadas las versiones de todo el software que proporciona servicios de correo electrónico (SMTP, IMAP / POP3) con los últimos parches de seguridad.