Soy muy pesado con el tema de la suplantación de identidad (Spoofing), pero es que en serio, es de las peores cosas que nos pueden hacer.
Y tenemos ejemplos para aburrir. Desde extorsiones, pasando por fraudes, hackeos de la más diversa índole, hasta la pérdida de nuestro trabajo y amistades. Una suplantación de identidad nos puede joder la vida hasta un punto que es difícilmente considerable a priori.
De ahí que repita una y otra vez la importancia de (primero) conocer los riesgos a los que nos enfrentamos y (segundo) establecer una presencia digital lo suficientemente bien estructurada como para que, en la medida de lo posible, al ser víctima de una de estas suplantaciones, las acciones llevadas por el criminal no tengan tanto impacto.
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Y dentro de esa estrategia de presencia digital para muchos profesionales, entre los que me incluyo, el correo electrónico es una pieza fundamental. Con ella me comunico con mis clientes, con mis amigos, con los miembros de la Comunidad, y hasta con algunos familiares.
Lo que salga de mi cuenta de correo es, para el grueso de la sociedad, mi palabra. Por ello, conviene conocer cómo funcionan las técnicas de email spoofing, y qué podemos hacer para minimizar su impacto.
Empecemos.
Índice de contenido
Un breve repaso al email spoofing
No voy a pararme mucho en esto ya que probablemente la mayoría ya sabéis de qué va. Existen muchos tipos de spoofing, y todos se basan en la usurpación de la identidad:
- IP Spoofing: aparentar que tenemos otra IP distinta a la nuestra.
- DNS Spoofing: modificar la biblioteca DNS para redirigir a la víctima a páginas presumiblemente maliciosas cuando intenta entrar en páginas legítimas.
- Web Spoofing: Lo mismo que lo anterior pero dirigido a todos los visitantes de una página o páginas en particular.
- ….
El Email Spoofing no es más que el conjunto de técnicas utilizadas para hacerse pasar por otro remitente en un correo electrónico.
Lo que vería el receptor del mensaje sería un email enviado por Pepito, cuando realmente quien lo ha enviado es Manganito. Y, como cabría esperar, suele ser utilizado con fines maquiavélicos.
Sin embargo, la mayoría de ataques de phishing recurren a estrategias de ofuscación, como puede ser la ya clásica de utilizar subdominios (un correo haciéndose pasar por @google.com enviado desde un @google.payment52.com), el uso de correos homográficamente parecidos (en vez de @goοgle.com, utilizar @google.com, que aunque parezcan iguales en el segundo caso he utilizado un código Unicode no recogido en nuestro abecedario, pero sí disponible en Internet) o con errores de typosquatting que pasan desapercibidos (un correo @google.com lanzado desde otro correo @googel.com, por ejemplo), sencilla y llanamente porque el grueso de la sociedad ni siquiera se suele fijar en esto, y claramente, son mucho más sencillos de ejecutar.
Pero posible es, y la principal ventaja es que ya no solo bypasea la mayoría de controles que tenga habilitados nuestra herramienta de correo (es muy probable que el servicio de email que usted utiliza hubiera marcado como potencialmente peligroso los tres ejemplos superiores, quizás enviándolos directamente a la carpeta de Spam y minimizando así el éxito de la campaña), e incluso podría engañar a gente que está preparada para identificar fraudes digitales, como puede ser mi caso o el de muchas personalidades con una exposición mediática considerable.
Cualquiera, a poco que sepa un poco de programación (para más información échele un ojo a cómo funciona el protocolo SMTP (ES), que es el que habitualmente se utiliza para el envío de correos), puede crearse una herramienta para enviar masivamente correo desde la dirección que le de la gana. El problema, no obstante, es que la mayoría de nombres de dominios “importantes” (es probable que por defecto el dominio que ha contratado para su web venga abierto a cualquiera) han sido definidos a nivel de configuración de servidor de manera que no certifican que un correo enviado desde fuera es, en verdad, un correo legítimo. Y como cada vez más herramientas de lectura de correo tienen en cuenta éste tipo de cuestiones, estaríamos en el mismo supuesto que antes (el correo llega a la carpeta Spam de la víctima, o marcado como potencialmente peligroso).
SPF, DKIM y DMARC
Es aquí donde entran en juego esta serie de protocolos:
- El SPF se encarga de identificar el correo ya no solo por quien dice ser ([email protected]), sino por la IP desde dónde se envía y por medio de los registros del DNS, que deben coincidir con los servidores de correo SMTP autorizados a realizar ese envío.
- El DKIM se encarga de asociar un nombre de dominio a un mensaje, lo que nos permite responsabilizar del envío a una persona u organización.
- Por último, DMARC (que más que un protocolo es una política) indica que los correos electrónicos enviados desde ese dominio están protegidos por SPF y/o DKIM, dando a las herramientas de correo una serie de instrucciones en caso de que alguno de ellos no sea validado (por ejemplo, que se marque como Spam).
Teniendo estos tres elementos bien configurados estamos ofreciendo al receptor la capacidad de discernir si en efecto un correo que le llega a la bandeja de entrada es o no legítimo. Son parches que hemos tenido que ir aplicando encima del protocolo SMTP ya que como ocurriera con el HTTP, en su creación inicial no se tuvo en cuenta los posibles usos malintencionados de la actualidad (todos los que utilizaban al principio SMTP eran usuarios académicos).
Por estos lares ya he explicado en profundidad cómo funcionan estos tres elementos, así como la manera que tenemos de configurarlos, así que no voy a repetirme. Solo recordar que aunque configuremos el SPF, el DKIM y la política DMARC de nuestro correo correctamente, todavía dependemos de un cuarto elemento que para colmo es ajeno a nuestro control: la herramienta de correo utilizada por el receptor.
El miembro débil de la cadena: el usuario
Aquí es donde viene la chicha, y es que aunque nosotros hayamos hecho los deberes, dependiendo del proveedor de correo utilizado el receptor, todavía es posible realizar ataques de email spoofing.
Lo demostraba, de hecho, hace apenas unos días Sabri Haddouche, un investigador de seguridad, mediante MailSploit (EN). Alrededor de 30 plataformas de correo son vulnerables a este tipo de ataque. Entre las afectadas, Yahoo Mail, Apple Mail, ProtonMail, Thunderbird, AquaMail, TypeApp… Por aquí, la lista completa (EN/EXC).
La técnica se basa en inyectar código en los headers de los correos que se encarga de engañar a los filtros anti-spoofing, con la siguiente configuración:
Un ejemplo más de cómo aún cuando hayamos tomado las medidas de seguridad oportunas (y créame que el dominio de la Casa Blanca seguramente lo ha hecho más que bien), todavía hay margen de maniobra para causar daño.
En todo caso, no le pongamos fácil las cosas a los malos.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Ciertamente esto es bastante dañino: tenía 2 años que no utilizar mi correo y cuando la abrí descubrí que estaba registrado a páginas que nunca use. Teniendo un poco de sospecha pase mi correo por páginas que verifican si fuiste hackeado y resulta que unos meses antes fui incluido en una de esas listas y quien utilizaba mi cuenta me había creado una cuenta en Ebay y trató de crear un Twitter (usando mi nombre completo, lo que realmente me preocupo) pero no la pudo verificar porque cambié la contraseña y eso fue hace apenas una semana.
En efecto. Ya sabes. Cambia la contraseña y plantéate, si el servicio de correo lo permite, un doble factor de autenticación.
Hola Pablo,
Esta herramienta (ES) te ayuda a verificar si tu correo es spoofeable o no, prueba con tu dominio y te darás cuenta.
La verdad he leído cuanto sitio con respecto a esto de evitar el Spoofing de cuentas de correo y no doy con esto…. El único sitio que veo que no es spoofeable es el del NIST.GOV
Saludos.
Muy buena recomendación Ricky. Saludos!
Buenas pablo tenes mal tu dmarc, esta articulo junto con los comentarios me sirvio mucho para verificar un poco la seguridad del correo, pues estaba sufriendo de suplantación de identidad. tu dmarc seria el siguiente
tipo: txt
nombre del host: _dmarc
valor: v=DMARC1; p=none; sp=none; noreply=mailto:[email protected]; rf=afrf; pct=100; ri=86400.
Espero lo puedas solucionar buenas tardes.
Gracias por avisar Jairo. Lo miro mañana y lo cambio.
Saludos!