¿Cómo identificar un correo electrónico falso?
La firma de ciberseguridad Kaspersky explica algunas técnicas de ‘spoofing’, una modalidad utilizada por delincuentes para engañar a usuarios con correos falsos.
En un 2021 en el que los ciberataques han estado a la orden del día, varios expertos en seguridad digital han alertado sobre la necesidad de que los usuarios de internet presten especial atención a los correos electrónicos fraudulentos, pues suelen ser la puerta de entrada a ataques de mayor envergadura.
Esta semana, la firma de ciberseguridad Kaspersky alertó sobre una modalidad que ha ido en ascenso en los últimos meses. Se trata del spoofing (suplantación, en inglés), una técnica que consiste, precisamente, en la suplantación de correos electrónicos de remitentes legítimos.
Lea también: ¿Qué es el ‘ransomware’, el ciberataque perpetrado contra JBS
Según datos de Kaspersky, entre abril y mayo de este año, el número total de casos detectados de ataques de este tipo casi se duplicó, pasando de 4.440 a 8.204. Esta técnica, además, se utiliza para llevar a cabo otros tipos de ataques, que van desde el ‘phishing’, para hacerse pasar por entidades de confianza hasta los BEC, que van dirigidos contra altos directivos en empresas.
Estas son las características de algunos tipos de spoofing, según Kaspersky.
Suplantación de dominios legítimos
Según la firma, esta es la técnica más fácil. Los atacantes insertan el dominio de la organización que se está suplantando en el encabezado “De” o “From”, en vez de su propio dominio, lo que dificulta diferenciarlo de un correo electrónico real. El dominio de un correo electrónico es la parte de la dirección que le sigue al “@”.
Hay varios métodos de autentificación implementados por las empresas para combatir esto, algunos son:
- El estándar SPF (Sender Policy Framework), que permite restringir el conjunto de direcciones IP que pueden enviar correo desde este dominio y que el servidor verifique que la dirección IP del remitente esté autorizada por el propietario del dominio.
- El método DKIM, que permite autenticar el remitente con una firma digital que se genera a partir de la clave privada almacenada en su servidor.
- El DMARC (Domain-based Message Authentication, Reporting and Conformance) que permite comprobar el dominio del encabezado “From” con el dominio validado por DKIM y/o SPF.
Le sugerimos leer: Falso: no hay proyecto del Ministro de Hacienda para invertir en Bitcoin Era
Suplantación del nombre para mostrar
Con el display name spoofing o “suplantación de nombre para mostrar”, los atacantes suplantan a la persona que envía el correo electrónico, haciendo que parezca que ha sido enviado por un empleado real de la empresa.
En este caso se ve el nombre del supuesto remitente en el encabezado “From”, antes de su dirección de correo electrónico real. Este nombre puede ser el de un empleado, el nombre del departamento de una empresa (como “recursos humanos”), etcétera.
‘Lookalike’
Aquí los delincuentes utilizan dominios muy parecidos a los de organizaciones legítimas y a menudo sólo cambian una letra. Las víctimas terminan confiando en el remitente y haciendo clic sobre sitios fraudulentos o entregando datos personales o financieros.
Kaspersky cita el ejemplo de alguien que utilizó el correo finalizado en deutschepots.de para que los usuarios creyeran que era un correo de la empresa postal alemana Deutsche Post (deutschepost.de). Un simple cambio en las letras puede pasar desapercibido entre más de un usuario.
Le puede interesar: Unas 200 empresas de Estados Unidos fueron objeto de ciberataque
Unicode Spoofing
Este es un tipo de suplantación en el que uno de los caracteres ASCII de un nombre de dominio se sustituye por un carácter de escritura similar del rango Unicode.
Explica Kaspersky que Unicode es un estándar utilizado para codificar los dominios, pero, cuando los nombres de dominio utilizan elementos no latinos, estos elementos se convierten a otro sistema de codificación.
El método de conversión Punycode, por ejemplo, se creó para convertir los caracteres Unicode en las llamadas secuencias ACE (ASCII Compatible Encoding o codificación compatible con ASCII), compuestas por letras latinas, guiones y números del 0 al 9. Aquí un ejemplo compartido por la firma:
“En este caso, el dominio de ‘apple.com’ acaba de caer bajo la regla de codificación de caracteres Unicode en ASCII: los tres primeros caracteres son ‘a’ y ‘p’ cirílicos. Pero el programa de correo electrónico que abrió el mensaje convirtió, para comodidad del usuario, la combinación Punycode a Unicode y el correo electrónico se mostró como ‘apple.com’”, dice la firma.
De acuerdo con Kaspersky, si se observan los encabezados de este correo electrónico (se puede en la mayoría de servicios de correo electrónico basados en la web), se obtiene una imagen muy diferente de quién es realmente el remitente:
“El spoofing puede parecer primitivo en comparación con otras técnicas utilizadas por los ciberdelincuentes, pero puede llegar a ser muy eficaz. También puede ser sólo la primera etapa de un ataque más complejo de compromiso del correo electrónico empresarial (BEC), de ataques que pueden conducir al robo de identidad y a detener la actividad de la empresa, así como a importantes pérdidas monetarias”, dijo en un comunicado Roman Dedenok, experto en seguridad de Kaspersky.
Para evitar caer en estas suplantaciones, los expertos recomiendan prestar atención a los detalles al momento de recibir un correo electrónico que parece legítimo.
Así mismo, es clave adoptar un método de autenticación de correo electrónico, como los mencionados anteriormente (SPF, DKIM o DMARC), especialmente para el correo electrónico corporativo.
También recomiendan a las empresas informar a sus empleados cómo identificar estos elementos en sus correos electrónicos y adquirir soluciones para servidores de correos. De hecho, ya existen productos independientes para Microsoft Office 365, uno de los servicios más utilizados por las empresas.
En un 2021 en el que los ciberataques han estado a la orden del día, varios expertos en seguridad digital han alertado sobre la necesidad de que los usuarios de internet presten especial atención a los correos electrónicos fraudulentos, pues suelen ser la puerta de entrada a ataques de mayor envergadura.
Esta semana, la firma de ciberseguridad Kaspersky alertó sobre una modalidad que ha ido en ascenso en los últimos meses. Se trata del spoofing (suplantación, en inglés), una técnica que consiste, precisamente, en la suplantación de correos electrónicos de remitentes legítimos.
Lea también: ¿Qué es el ‘ransomware’, el ciberataque perpetrado contra JBS
Según datos de Kaspersky, entre abril y mayo de este año, el número total de casos detectados de ataques de este tipo casi se duplicó, pasando de 4.440 a 8.204. Esta técnica, además, se utiliza para llevar a cabo otros tipos de ataques, que van desde el ‘phishing’, para hacerse pasar por entidades de confianza hasta los BEC, que van dirigidos contra altos directivos en empresas.
Estas son las características de algunos tipos de spoofing, según Kaspersky.
Suplantación de dominios legítimos
Según la firma, esta es la técnica más fácil. Los atacantes insertan el dominio de la organización que se está suplantando en el encabezado “De” o “From”, en vez de su propio dominio, lo que dificulta diferenciarlo de un correo electrónico real. El dominio de un correo electrónico es la parte de la dirección que le sigue al “@”.
Hay varios métodos de autentificación implementados por las empresas para combatir esto, algunos son:
- El estándar SPF (Sender Policy Framework), que permite restringir el conjunto de direcciones IP que pueden enviar correo desde este dominio y que el servidor verifique que la dirección IP del remitente esté autorizada por el propietario del dominio.
- El método DKIM, que permite autenticar el remitente con una firma digital que se genera a partir de la clave privada almacenada en su servidor.
- El DMARC (Domain-based Message Authentication, Reporting and Conformance) que permite comprobar el dominio del encabezado “From” con el dominio validado por DKIM y/o SPF.
Le sugerimos leer: Falso: no hay proyecto del Ministro de Hacienda para invertir en Bitcoin Era
Suplantación del nombre para mostrar
Con el display name spoofing o “suplantación de nombre para mostrar”, los atacantes suplantan a la persona que envía el correo electrónico, haciendo que parezca que ha sido enviado por un empleado real de la empresa.
En este caso se ve el nombre del supuesto remitente en el encabezado “From”, antes de su dirección de correo electrónico real. Este nombre puede ser el de un empleado, el nombre del departamento de una empresa (como “recursos humanos”), etcétera.
‘Lookalike’
Aquí los delincuentes utilizan dominios muy parecidos a los de organizaciones legítimas y a menudo sólo cambian una letra. Las víctimas terminan confiando en el remitente y haciendo clic sobre sitios fraudulentos o entregando datos personales o financieros.
Kaspersky cita el ejemplo de alguien que utilizó el correo finalizado en deutschepots.de para que los usuarios creyeran que era un correo de la empresa postal alemana Deutsche Post (deutschepost.de). Un simple cambio en las letras puede pasar desapercibido entre más de un usuario.
Le puede interesar: Unas 200 empresas de Estados Unidos fueron objeto de ciberataque
Unicode Spoofing
Este es un tipo de suplantación en el que uno de los caracteres ASCII de un nombre de dominio se sustituye por un carácter de escritura similar del rango Unicode.
Explica Kaspersky que Unicode es un estándar utilizado para codificar los dominios, pero, cuando los nombres de dominio utilizan elementos no latinos, estos elementos se convierten a otro sistema de codificación.
El método de conversión Punycode, por ejemplo, se creó para convertir los caracteres Unicode en las llamadas secuencias ACE (ASCII Compatible Encoding o codificación compatible con ASCII), compuestas por letras latinas, guiones y números del 0 al 9. Aquí un ejemplo compartido por la firma:
“En este caso, el dominio de ‘apple.com’ acaba de caer bajo la regla de codificación de caracteres Unicode en ASCII: los tres primeros caracteres son ‘a’ y ‘p’ cirílicos. Pero el programa de correo electrónico que abrió el mensaje convirtió, para comodidad del usuario, la combinación Punycode a Unicode y el correo electrónico se mostró como ‘apple.com’”, dice la firma.
De acuerdo con Kaspersky, si se observan los encabezados de este correo electrónico (se puede en la mayoría de servicios de correo electrónico basados en la web), se obtiene una imagen muy diferente de quién es realmente el remitente:
“El spoofing puede parecer primitivo en comparación con otras técnicas utilizadas por los ciberdelincuentes, pero puede llegar a ser muy eficaz. También puede ser sólo la primera etapa de un ataque más complejo de compromiso del correo electrónico empresarial (BEC), de ataques que pueden conducir al robo de identidad y a detener la actividad de la empresa, así como a importantes pérdidas monetarias”, dijo en un comunicado Roman Dedenok, experto en seguridad de Kaspersky.
Para evitar caer en estas suplantaciones, los expertos recomiendan prestar atención a los detalles al momento de recibir un correo electrónico que parece legítimo.
Así mismo, es clave adoptar un método de autenticación de correo electrónico, como los mencionados anteriormente (SPF, DKIM o DMARC), especialmente para el correo electrónico corporativo.
También recomiendan a las empresas informar a sus empleados cómo identificar estos elementos en sus correos electrónicos y adquirir soluciones para servidores de correos. De hecho, ya existen productos independientes para Microsoft Office 365, uno de los servicios más utilizados por las empresas.