Definición
El email spoofing, o correo de suplantación de identidad, es una técnica empleada en los ataques de spam y de phishing para hacerle pensar a un usuario que un mensaje proviene de una persona o entidad que conocen o en la que confían. En los ataques de spoofing, el remitente falsifica los encabezados del correo electrónico para que el software cliente muestre la dirección de remitente fraudulenta, que la mayoría de los usuarios acepta tal como la ven. A menos que inspeccionen cuidadosamente el encabezado, los usuarios solamente verán el remitente falso en el mensaje. Si es un nombre que reconocen, es más probable que confíen en este. De esta manera, hacen clic en enlaces malintencionados, abren archivos adjuntos que contienen malware, envían datos delicados y hasta hacen transferencias de dinero de la empresa.
El correo de suplantación de identidad es posible debido a la manera en que están diseñados los sistemas de correo electrónico. Una aplicación cliente les asigna una dirección de remitente a los mensajes salientes; los servidores de correo electrónico saliente no tienen forma de saber si la dirección de remitente es legítima o si es falsa.
Los servidores destinatarios y el software antimalware pueden ayudar a detectar y filtrar los mensajes suplantados. Desafortunadamente, no todos los servicios de correo electrónico cuentan con protocolos de seguridad. Aun así, los usuarios pueden revisar los encabezados de correo electrónico que todo mensaje contiene, para así determinar si la dirección ha sido falsificada.
Una breve historia del email spoofing
Debido al mecanismo de funcionamiento de los protocolos de correo electrónico, la suplantación de identidad de correo electrónico ha representado un problema desde la década de 1970. Comenzó con los “spammers”, que lo usaban para evadir los filtros de correo electrónico. El problema se volvió mucho más común en la década de 1990, y pasó a convertirse en un problema de ciberseguridad a nivel mundial en la década del 2000.
Los protocolos de seguridad fueron introducidos en el 2014 para ayudar a combatir el Email spoofing y el phishing. Gracias a estos protocolos, muchos mensajes de correo electrónico suplantados ahora se envían a las carperas de correo no deseado o se rechazan y nunca llegan a las bandejas de entrada de los destinatarios.
Cómo funciona el email spoofing
El objetivo del spoofing es convencer a los usuarios de que el correo electrónico proviene de alguien que conocen o en quien confían. En la mayoría de los casos, un colega, proveedor o marca. Haciendo uso de esa confianza, el atacante le pide al destinatario que divulgue información o que tome otras acciones.
Por ejemplo, un atacante podría crear un correo electrónico que parezca que proviene de PayPal. El mensaje le dice al usuario que su cuenta se suspenderá si no hacen clic en un enlace, autentican su identidad en la página y cambian la contraseña de la cuenta. Si el engaño funciona y el usuario escribe sus credenciales, ahora el atacante cuenta con credenciales para ingresar a la cuenta de PayPal del usuario, lo cual le permite robarle dinero al usuario.
Ataques más complejos se orientan a empleados financieros y se sirven de la ingeniería social y el reconocimiento en línea para convencer a un usuario objetivo de que envíe millones a la cuenta bancaria de un atacante.
Para el usuario, un mensaje de correo electrónico con suplantación de identidad parece legítimo, y muchos atacantes toman elementos de la página web oficial para lograr que el mensaje sea más creíble. Aquí le planteamos un ejemplo de un ataque de phishing de PayPal con un remitente suplantado:
Con un cliente de correo electrónico típico (como Microsoft Outlook), la dirección del remitente se introduce automáticamente cuando un usuario envía un nuevo mensaje de correo electrónico. Pero un atacante puede enviar mensajes programáticamente usando scripts básicos en cualquier lenguaje de programación que configure la dirección del remitente a una dirección de correo electrónico específica. Los extremos de la API de correo electrónico les permiten a los remitentes especificar una dirección de remitente sin importar si existe la dirección. Y los servidores de correo saliente no puede determinar si la dirección del remitente es legítima.
El correo electrónico saliente se recupera y reenvía usando el Protocolo Simple de Transferencia de Correo Electrónico (o SMTP, del inglés “Simple Mail Transfer Protocol”). Cuando un usuario hace clic en “Enviar” en un cliente de correo electrónico, el mensaje se envía primero a un servidor de SMTP saliente configurado en el software cliente. El servidor SMTP identifica el dominio del destinatario y lo reenvía al servidor de correo electrónico del dominio. Posteriormente, el servidor de correo electrónico del destinatario reenvía el mensaje a la bandeja de entrada adecuada.
Por cada “salto” que da un mensaje de correo electrónico en su trayecto virtual entre un servidor y otro, la dirección de cada servidor se registra e incluye en los encabezados. Estos encabezados divulgan la ruta y remitente verdaderos, pero muchos usuarios simplemente no revisan los encabezados antes de interactuar con un remitente de correo electrónico.
Los tres principales componentes de un correo electrónico son:
- La dirección del remitente
- La dirección del destinatario
- El cuerpo (texto) del mensaje
Otro componente que se usa con frecuencia en el phishing es el campo de “Responder a”. Este campo también puede ser configurado por el remitente y se puede utilizar como un ataque de phishing. La dirección de “Responder a” le dice al software de cliente de correo electrónico a dónde enviar la respuesta, que puede ser a una dirección diferente de la del remitente. De nuevo, los servidores de correo electrónico y el protocolo SMTP no validan si este correo electrónico es legítimo o falsificado. Depende del usuario darse cuenta de la respuesta irá al destinatario equivocado.
Aquí le presentamos un ejemplo de un correo electrónico falsificado:
Vea que la dirección de correo electrónico en el campo del remitente (campo “De”) supuestamente es la de Bill Gates (b.gates@microsoft.com). Hay dos secciones a revisar en estos encabezados de correo electrónico. La sección “Recibido” indica que el correo electrónico originalmente fue gestionado por el servidor de correo electrónico email.random-company.nl, lo que es una primera indicación de que este correo está falsificado. Pero el mejor campo para revisar es la sección “Recibido-SPF”. Notará que la sección presenta un estado “Fail” (“fallido”).
El Convenio de Remitentes (SPF, del inglés “Sender Policy Framework”) es un protocolo de seguridad que se convirtió en un estándar en 2014. Funciona en conjunto con el protocolo DMARC (Autenticación de Mensajes Basada en Dominios, Informes y Conformidad; en inglés: “Domain-based Message Authentication, Reporting and Conformance”) para defenderse contra ataques de malware y de phishing.
El SPF es capaz de detectar correos electrónicos falsificados, y se está volviendo muy común entre los diversos servicios de correo electrónico como herramienta para combatir el phishing. Pero el uso del SPF es responsabilidad del propietario del dominio Para usar SPF, el titular del dominio debe configurar una entrada de DNS TXT especificando todas las direcciones IP autorizadas para enviar correo electrónico a nombre del dominio. Habiendo configurado esta entrada de DNS, los servidores de correo electrónico del destinatario consultan la dirección IP al recibir un mensaje para asegurarse de que coincida con las direcciones IP autorizadas del dominio del correo electrónico. Si coincide, el campo “Recibido-SPF” mostrará un estado PASS (aprobado). En caso contrario, el campo mostrará un estado FAIL (fallido). Los destinatarios deben revisar este estado al recibir un correo electrónico con enlaces, archivos adjuntos o instrucciones escritas.
Estadísticas de Email spoofing y phishing
Los clientes de correo electrónico configurados para usar SPF y DMARC automáticamente rechazan los correos electrónicos que no aprueban la validación, o los redirigen a la bandeja de correo no deseado del usuario. Los atacantes se enfocan tanto en personas como en empresas, y basta con engañar a un único usuario para abrir las puertas al robo de dinero, datos y credenciales.
No es de extrañar que el phishing sea uno de los ciberataques más predominantes en la actualidad. Considere las siguientes estadísticas:
- Cada día se envían 3,1 millardos de correos electrónicos de spoofing.
- Más del 90% de los ciberataques comienzan por un mensaje de correo electrónico.
- Se estima que los ataques de phishing y spoofing han costado un estimado de 26.000 millones de dólares desde el 2016.
- En 2019, el FBI reportó que 467.000 ciberataques resultaron exitosos, y el 24% de estos estaban basados en el correo electrónico.
- Como media, cada estafa logró robar 75.000 USD por víctima.
Un típico ataque de spoofing son los fraudes a directores generales (CEO), que también se denominan ataques de Compromiso del Email Empresarial o ataques BEC (del inglés “Business Email Compromise”). En los ataques BEC, el atacante falsifica la dirección de correo electrónico del remitente para hacerse pasar por un ejecutivo o dueño de una empresa. Este ataque suele dirigirse a un empleado en los departamentos de finanzas, contabilidad o cuentas por pagar.
Es posible engañar incluso a empleados inteligentes y bien intencionados para que envíen dinero cuando la solicitud proviene de alguien en quien confían, especialmente una figura de autoridad.
Aquí presentamos algunos ejemplos de estafas de phishing de gran repercusión:
- El Canadian City Treasure fue víctima de una estafa en la que una persona, haciéndose pasar por el gestor municipal Steve Kanellakos, les convenció de que transfiriesen 98.000 USD de fondos públicos.
- A la empresa juguetera Mattel intentaron convencerles de transferir 3 millones de USD a una cuenta en China, pero tuvieron la fortuna de poder recuperar el dinero cuando el ejecutivo financiero al que se defraudó pudo confirmar que el mensaje no había sido enviado por el Director General (CEO), Christopher Sinclair.
- El banco belga Crelan fue víctima de una estafa en la que les convencieron de enviarles 70 millones de EUR a los atacantes.
Cómo protegerse contra el email spoofing
Incluso habiendo implementado medidas de seguridad para correo electrónico algunos mensajes malintencionados de correo electrónico logran llegar a las bandejas de entrada de los usuarios. Tanto si usted es un empleado responsable de decisiones financieras como si simplemente usa su correo electrónico personal en el trabajo, existen diversos pasos a seguir para evitar convertirse en víctima de fraude de correo electrónico:
- Nunca haga clic en enlaces para acceder a una web en la que se le pida autenticación. Escriba siempre (con el teclado) el dominio oficial en su navegador y haga su autenticación directamente en la web.
- Los pasos para ver los encabezados de correo electrónico varían según el cliente de correo electrónico, así que lo primero que hay que hacer es consultar el procedimiento para ver los encabezados de correo electrónico de su software de bandeja de entrada. Después, abra los encabezados de correo electrónico y busque la sección “Recibidos-SPF” de los encabezados y busque una respuesta PASS (aprobado) o FAIL (fallido).
- Copie y pegue el contenido de un mensaje de correo electrónico en un motor de búsqueda. Lo más probable es que un texto que se haya empleado en un ataque común de phishing ya haya sido reportado y esté publicado en internet.
- Sea suspicaz ante un correo electrónico que supuestamente provenga de una fuente oficial, pero que tenga errores ortográficos o de puntuación.
- Evite abrir archivos adjuntos de remitentes sospechosos o desconocidos.
- Un correo electrónico en que se le ofrezca dinero ─o cualquier otra cosa que sea demasiado buena como para ser cierta─, seguramente será una estafa.
- Tenga cuidado con los correos electrónicos que le produzcan una sensación de urgencia o de peligro. El phishing y los ataques BEC intentan evadir el escepticismo natural del destinatario sugiriéndole que algo malo ocurrirá si no actúan con celeridad. Sea extremadamente cuidadoso si el mensaje le informa acerca de cierres de cuentas pendientes, errores en pagos programados o actividades sospechosas en una de sus cuentas financieras. Visite la página web directamente desde su navegador, no desde el enlace en el correo electrónico.
Informe: 2022 State of the Phish
Descargue nuestro informe para descubrir cómo pueden las organizaciones tener una visión de sus vulnerabilidades más introspectiva y centrada en las personas, y permitir que los usuarios se conviertan en la línea de defensa más fuerte.
Las amenazas internas constituyen el mayor riesgo de ciberseguridad para las empresas
Los ataques externos no son las únicas ciberamenazas que deben considerar las empresas en la actualidad. Los usuarios maliciosos, negligentes o comprometidos presentan un riesgo importante y que va en aumento.
Acerca el archivo de correo electrónico
Conozca cómo y dónde se guardan los correos archivados y las mejores soluciones. Proofpoint le ayuda a estar bien informado.