Ahora que la mayoría de la gente está familiarizada con los ataques de phishing estándar y, por tanto, es capaz de evitarlos, los agentes maliciosos han pasado a algo más peligroso. El email spoofing es un ataque en el que los hackers se hacen pasar por alguien que la víctima conoce. Es una forma mucho más sutil de comprometer las credenciales o el dispositivo de un usuario.
Sin embargo, al igual que ocurre con el phishing, una vez que se conocen las señales de un correo electrónico falsificado y se enseña a los usuarios a detectarlas, la solución suele ser sencilla.
¿Qué es el email spoofing?
El email spoofing es una modalidad de suplantación de identidad por correo electrónico, que se produce cuando un atacante envía un correo electrónico a un usuario haciéndose pasar por otra persona, generalmente alguien que el usuario conoce. A menudo, esta persona es un supervisor, gerente o ejecutivo de la misma empresa. La cabecera del correo electrónico del usuario muestra una dirección de correo electrónico que parece legítima para el usuario promedio, que probablemente no se fija bien en la dirección si el nombre le resulta familiar.
Dado que los usuarios confían en las personas de sus organizaciones, es muy probable que lleven a cabo una acción siguiendo las instrucciones del correo electrónico. Puede tratarse simplemente de hacer clic en un enlace malicioso que instala malware o de gastar cientos de euros en tarjetas regalo y enviarlas a una dirección proporcionada.
Si bien es similar al phishing, estos dos ataques son distintos. Aunque los correos electrónicos de phishing también pretenden propagar malware o poner en peligro a los usuarios, su objetivo principal es el robo. Los email spoofing, en cambio, son solo suplantaciones que pueden dar lugar a ataques de phishing. Los ataques de spoofing por correo electrónico también pueden solicitar credenciales de usuario, y si esas credenciales se comparten, la seguridad y los datos de la organización corren peligro.
¿Cómo funciona el email spoofing?
Los atacantes consiguen falsificar direcciones de correo electrónico debido a la falta de seguridad del protocolo simple de transferencia de correo (SMTP), que no admite cifrado, autenticación ni otras medidas de seguridad similares. Si utilizas Gmail o Outlook, por ejemplo, estás utilizando SMTP, por lo que no es difícil para un agente externo encontrar y comprometer un servidor SMTP. Una vez que tenga un servidor, el hacker comenzará a ajustar el encabezado del correo electrónico.
En la cabecera, hay un espacio destinado a la identidad del remitente (correo de). Dado que el SMTP carece de protocolos de autenticación, un hacker puede cambiar muy fácilmente la dirección de correo electrónico que aparece en la línea «correo de». Hay algunos detalles que un hacker debe tener en cuenta, como si el dominio utilizado es legítimo, si existe alguna cuarentena u otro tipo de protección en torno a ese dominio y si el servidor SMTP se ha configurado correctamente. Si no los tiene en cuenta, el correo en cuestión acabará en la carpeta de spam de la víctima.
Por lo demás, suponiendo que el atacante disponga de un servidor correctamente configurado y elija un dominio utilizable, el proceso es sencillo. Cambia la dirección del remitente, redacta un correo electrónico que parezca provenir de una persona de confianza, se asegura de que todos los comandos o indicaciones del código se hayan ajustado a la nueva dirección del remitente (o simplemente utiliza una herramienta en línea, si realmente quiere ponérselo fácil), y la suplantación de identidad por correo electrónico ha empezado.
Cómo identificar correos electrónicos falsos
Visto que estos sistemas de email spoofing son tan sencillos, no es de extrañar que cada vez ocurran con más frecuencia. Para combatir estos ataques, una de las mejores cosas que puedes hacer es aprender a identificarlos y formar a los usuarios de los entornos que gestionas. Estas son algunas cosas en las que debes fijarte cuando abras un correo electrónico.
- La exactitud de la firma del correo: si es política de la empresa tener una firma de correo electrónico específica, un correo electrónico de otro empleado o supervisor debería tenerla. En primer lugar, comprueba que está la firma y, a continuación, confirma los detalles. Por ejemplo, asegúrate de que la dirección de correo electrónico de la firma coincide con la de la línea «Correo de» y comprueba el prefijo del número de teléfono. Si todas vuestras oficinas están en el mismo país y el prefijo es de otro, estamos ante una señal de alarma.
- Una dirección de correo electrónico mal escrita: antes de hacer clic en los archivos adjuntos o de responder al correo, echa un vistazo a la línea «Correo de». Si un dominio conocido, como bestbuy.com, se escribe como betsbuy.com, se trata de una suplantación de identidad.
- Una dirección de correo electrónico genérica: aunque muchos ataques de spoofing por correo electrónico incluyen dominios legítimos en sus direcciones de correo electrónico, a veces el remitente no dedica tiempo ni esfuerzo. Así que es posible que recibas un correo electrónico de Gmail, Outlook u otro dominio genérico que claramente no coincide con el dominio o las convenciones de tu organización.
- El contenido del correo: aunque no todos los correos urgentes son falsos, un correo electrónico que intente alarmarte o te anime a actuar de inmediato debe considerarse sospechoso.
Implicaciones y riesgos del email spoofing
El problema del spoofing por correo electrónico es que es muy fácil de utilizar para los atacantes y muy convincente para el usuario medio. Si no tratas el problema, tu organización acabará sufriendo un incidente de seguridad que puede llegar a ser muy costoso.
Tu organización puede acabar pagando grandes cantidades de dinero a los atacantes bajo el supuesto de que cualquier solicitud que hagan es legítima. Si un empleado facilita credenciales, los datos privados de la organización corren peligro. Los usuarios, ya sean tus clientes o tus empleados, corren un mayor riesgo de sufrir robos de identidad y pérdidas financieras tras una infracción cometida por un agente malicioso.
Técnicas para prevenir el email spoofing
Es importante formar a los usuarios para que eviten los correos electrónicos falsos, pero eso no suele ser suficiente para proteger a una organización. El error humano es responsable de la gran mayoría de los incidentes de seguridad notificados, por lo que las siguientes medidas preventivas pueden ser necesarias para limitar el riesgo de que un ataque tenga éxito.
- SPF (Marco de directivas de remitente): el SPF no es la solución más sofisticada, pero es un buen comienzo para filtrar correos electrónicos ilegítimos. Funciona mediante un registro adjunto a los correos electrónicos que identifica los servidores autorizados de tu dominio. Entonces, el servidor receptor debe determinar, basándose en ese registro, si debe permitirse que pase el correo.
- DMARC (Autenticación de mensajes basada en dominios, informes y conformidad): más completo que el SPF, el DMARC proporciona tanto el registro que el servidor receptor puede analizar como instrucciones sobre qué hacer si el correo electrónico no pasa el examen de ese servidor receptor. También solicita informes, una función útil si quieres tener más información sobre los correos electrónicos que pasan por tus servidores.
- DKIM (Correo identificado por claves de dominio): el DKIM se centra en la autenticación. La buena noticia es que es más seguro que otras opciones; la mala es que puedes estropear tu correo electrónico si lo configuras de forma incorrecta. Este método de prevención también requiere registros, pero además publica firmas para verificar la legitimidad.
- Filtrado de correo electrónico y protección avanzada frente a amenazas: implementar soluciones de filtrado de correo electrónico para detectar y bloquear los mensajes falsos es otra buena medida preventiva. Los filtros detectan elementos como enlaces sospechosos, palabras o frases concretas habituales en el spam y la reputación de la dirección IP del remitente. Una vez detectado, el filtro moverá el correo electrónico a una carpeta separada para indicar que puede no ser legítimo. Además, la implementación de la protección avanzada contra amenazas, que es una aplicación basada en la nube más sensible que un filtro tradicional, puede reducir aún más el número de correos electrónicos ilegítimos que tú y otros empleados recibís.
Cómo evitar los peligros del email spoofing
Como ocurre con la mayoría de las cosas en TI, más vale prevenir que curar. Todo lo que puedas hacer para reducir el riesgo de spoofing por correo electrónico y los probables ataques de phishing consiguientes te ahorrará tiempo y dinero a largo plazo. No pongas en peligro la salud financiera de tu organización ni la información privada de tus clientes. Utiliza métodos de prevención como el filtrado, la protección avanzada, el SPF, el DKIM y el DMARC para proporcionar una seguridad sólida a tu correo electrónico y protegerte contra los mensajes falsos.
Al final, la mejor forma de evitar el spoofing por correo electrónico es la concienciación. Aunque los métodos de prevención son útiles, algunos correos electrónicos fraudulentos pueden llegar a los usuarios. Siempre que los equipos de tu organización sean conscientes de la amenaza y sepan qué buscar, podrán tomar medidas para evitar y prevenir activamente los riesgos de seguridad, garantizando así que tu organización y tus datos permanezcan seguros.