Contáctenos

El blog de Skysnag

¿Qué es el Email Spoofing?

Octubre 11, 2023  |  6 min leer

El spoofing de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsificada. Esto indica que el mensaje parece provenir de una fuente distinta de la prevista. En las campañas de phishing y spam, el spoofing de correo electrónico se utiliza habitualmente para dificultar que los destinatarios identifiquen al remitente auténtico y eviten abrir el mensaje. Los ataques de suplantación de identidad alteran las cabeceras del correo electrónico para que parezca que el mensaje procede de un remitente diferente. Esto puede lograrse alterando el campo "De" u otros elementos de la cabecera.

La suplantación del correo electrónico es posible debido a:

  1. Falta de autenticación: No existe una forma estándar de autenticar al remitente de un mensaje de correo electrónico. Esto significa que es posible que alguien envíe un correo electrónico con una dirección de remitente falsificada.
  2. Suplantación de dominio: La suplantación de dominio es un tipo de suplantación de correo electrónico que consiste en falsificar el nombre de dominio del remitente. Esto puede hacerse cambiando el campo "De" u otras partes de la cabecera del correo electrónico.
  3. Retransmisión SMTP: La retransmisión SMTP es un método de entrega de correo electrónico que permite enviar mensajes de un servidor a otro. Puede utilizarse para enviar mensajes de correo electrónico con una dirección de remitente falsificada.

Historia de la suplantación de identidad por correo electrónico

La suplantación de identidad por correo electrónico se ha utilizado desde los primeros días del correo electrónico. En 1978, dos ingenieros de Digital Equipment Corporation utilizaron esta técnica para enviar un mensaje al presidente de la empresa haciéndose pasar por el director general. En la década de 1990, los spammers utilizaron la suplantación de identidad para enviar mensajes comerciales no solicitados (UCE). En 2001, el virus Melissa utilizó la suplantación de correo electrónico para propagarse. En 2003, el virus SoBig utilizó la suplantación de correo electrónico para propagarse. En 2007, el gusano Storm utilizó la suplantación de correo electrónico para propagarse.

Cómo funciona la suplantación de identidad por correo electrónico

La suplantación de identidad por correo electrónico consiste en falsificar la dirección del remitente de un mensaje de correo electrónico. Esto puede hacerse cambiando el campo "De" u otras partes de la cabecera.

Cuando se utiliza la suplantación de identidad por correo electrónico en campañas de phishing, el atacante suele enviar correos electrónicos que parecen proceder de una empresa o sitio web legítimos. El correo electrónico suele contener un enlace que conduce a un sitio web falso diseñado para robar las credenciales de inicio de sesión del destinatario.

Ejemplo de suplantación de identidad de Paypal

En 2018, hubo una campaña generalizada de suplantación de correo electrónico dirigida a usuarios de PayPal. Los correos electrónicos afirmaban ser de PayPal y decían que la cuenta del destinatario había sido suspendida. El correo electrónico dirigía al destinatario a hacer clic en un enlace para reactivar su cuenta. Sin embargo, el enlace conducía a un sitio web falso diseñado para robar las credenciales de inicio de sesión de PayPal del usuario.

Esta campaña tuvo éxito porque utilizó la suplantación de identidad para que los mensajes parecieran proceder de una fuente legítima. El mensaje también utilizaba un lenguaje persuasivo para engañar al destinatario y conseguir que hiciera clic en el enlace.

Formas de evitar ser víctima de ataques de Spoofing

Es importante desconfiar de los correos electrónicos no solicitados. Si un correo electrónico le parece sospechoso, no haga clic en ningún enlace ni archivo adjunto. Póngase en contacto directamente con la empresa para confirmar que el mensaje es legítimo.

Un atacante puede enviar mensajes mediante programación utilizando scripts básicos en cualquier lenguaje que configure la dirección del remitente a una dirección de correo electrónico de su elección. Los puntos finales de la API de correo electrónico permiten al remitente especificar la dirección del remitente independientemente de si la dirección existe o no. Y los servidores de correo electrónico saliente no pueden determinar si la dirección del remitente es legítima.

Los servidores de correo electrónico utilizan Protocolo simple de transferencia de correo (SMTP) para enviar y recibir mensajes. Al hacer clic en "Enviar" en su cliente de correo electrónico, el mensaje va al servidor SMTP configurado en su software cliente. El servidor SMTP busca el dominio del destinatario y dirige el mensaje al servidor de correo electrónico de ese dominio. A continuación, el servidor de correo electrónico del destinatario entrega el mensaje en la bandeja de entrada correcta.

Cada vez que un mensaje de correo electrónico viaja de un servidor a otro a través de Internet, la dirección IP de cada servidor se registra y se incluye en las cabeceras del correo electrónico. Estas cabeceras muestran la ruta y el remitente reales, pero mucha gente no las mira antes de interactuar con un remitente de correo electrónico.

Las tres partes principales de un correo electrónico son:

  • La dirección del remitente
  • La dirección del destinatario
  • El cuerpo del correo electrónico

Un atacante puede falsificar fácilmente la dirección del remitente de un correo electrónico para que parezca que procede de una fuente legítima. Los servidores de correo electrónico no validan la dirección del remitente, por lo que el mensaje seguirá entregándose aunque la dirección sea falsa. Esto puede utilizarse en ataques de phishing para hacer que el correo electrónico parezca provenir de una fuente de confianza. El atacante también puede utilizar el campo Reply-To para especificar dónde deben enviarse las respuestas, que puede ser otra dirección de correo electrónico que controle.

Este correo electrónico tiene un estado FAIL en el campo Received-SPF, que es el mejor indicador de que se trata de un correo electrónico falsificado. La dirección de correo electrónico en el campo De remitente es supuestamente de Bill Gates (b.gates@microsoft.com). Sin embargo, el correo electrónico fue gestionado originalmente por el servidor de correo electrónico email.random-company.nlque es la primera pista de que se trata de un caso de suplantación de identidad. El mejor campo a revisar en estas cabeceras de correo electrónico es la sección Received-SPF.

FPS

SPF es un protocolo de seguridad que se estableció como estándar en 2014. Funciona junto con DMARC para detener los ataques de malware y phishing.

SPF puede detectar correos electrónicos falsificados, y se ha convertido en algo común en la mayoría de los servicios de correo electrónico para combatir el phishing. Pero es responsabilidad del titular del dominio utilizar SPF. El titular de un dominio debe configurar una entrada DNS TXT que especifique todas las direcciones IP autorizadas a enviar un correo electrónico en nombre del dominio para poder utilizar SPF.

Con esta entrada DNS configurada, los servidores de correo electrónico de los destinatarios buscan la dirección IP al recibir un mensaje para asegurarse de que coincide con las direcciones IP autorizadas del dominio de correo electrónico. Si hay coincidencia, el campo Received-SPF muestra el estado PASS. Si no hay coincidencia, el campo muestra el estado FALLIDO. Los destinatarios deben revisar este estado cuando reciban un correo electrónico con enlaces, archivos adjuntos o instrucciones escritas.

Estadísticas de suplantación de identidad por correo electrónico

  • Cada día se envían 3.100 millones de correos electrónicos falsos. Esto equivale aproximadamente a un correo falso por cada dos habitantes del planeta. El estudio también reveló que la mayoría de estos correos electrónicos falsos proceden de agentes maliciosos de China y Rusia.
  • La suplantación de identidad por correo electrónico y el phishing han tenido un impacto mundial con un costo estimado de 26 mil millones de dólares desde 2016. En Estados Unidos, el FBI informó de que solo en 2019 se perdieron más de 12.000 millones de dólares por estafas de correo electrónico y ciberdelincuencia.

Un ataque común que utiliza la suplantación del correo electrónico es el compromiso del correo electrónico comercial (BEC). En este caso, los ciberdelincuentes falsifican un correo electrónico de un ejecutivo de alto nivel de una organización para solicitar una transferencia bancaria o acceder a información confidencial.

Se prevé que el número de ataques de suplantación de identidad por correo electrónico aumente en el futuro a medida que los ciberdelincuentes perfeccionen sus métodos.

En los últimos años se han dado muchos ejemplos destacados de estafas de phishing por correo electrónico. He aquí algunos de los casos más notables:

  • En 2016, el Comité Nacional Demócrata (DNC) fue víctima de un ataque de phishing que dio lugar a la publicación de más de 20.000 correos electrónicos.
  • En 2017, un ataque de phishing contra el Servicio Nacional de Salud del Reino Unido (NHS) provocó la cancelación de más de 19.000 citas.
  • En 2018, Google reveló que había sido objeto de un ataque de phishing que afectó a más de un millón de usuarios.
  • En 2019, la ciudad de Baltimore sufrió un ataque de ransomware originado en un correo electrónico de phishing. El ataque paralizó los sistemas informáticos de la ciudad y causó más de 18 millones de dólares en daños.
  • En 2020, la información personal de más de 100 millones de personas quedó expuesta en una filtración de datos en la agencia de información crediticia Equifax. La filtración fue el resultado de un ataque de phishing a uno de los empleados de Equifax.

Cómo protegerse de la suplantación de identidad en el correo electrónico

Hay algunas medidas que puede tomar para protegerse de los ataques de suplantación de identidad por correo electrónico:

  1. DMARC son las siglas de Domain-based Message Authentication and Reporting (autenticación e informe de mensajes basados en dominios), y es un estándar de autenticación de correo electrónico que puede utilizarse para evitar la suplantación de identidad. Los remitentes de correo electrónico pueden utilizar DMARC para describir cómo debe tratarse su correo electrónico si falla la autenticación.

    Cree una cuenta Skysnag para generar su registro DMARC.

  2. SPF (Secure Sender Policy Framework) es un estándar de autenticación de correo electrónico que puede utilizarse para evitar la suplantación de identidad. Los remitentes de correo electrónico pueden utilizar SPF para indicar qué servidores pueden enviar correos electrónicos en su nombre.
  3. Utilice un servicio de correo electrónico fiable: Los servicios de correo electrónico fiables suelen contar con funciones antifalsificación.
  4. Los correos electrónicos no solicitados deben tratarse con precaución, aunque parezcan proceder de una fuente fiable. Si un correo electrónico le parece sospechoso, no lo abra ni haga clic en ninguno de los enlaces o archivos adjuntos.
  5. No responda a correos electrónicos que soliciten información personal o financiera. Este tipo de información nunca será solicitada por correo electrónico por una empresa legítima.
  6. Mantenga actualizado su software antivirus y analice su ordenador con regularidad. Esto ayudará a detectar y eliminar cualquier software peligroso que se haya instalado como resultado de la apertura de un correo electrónico de phishing.
  7. En su cuenta de correo electrónico, active la autenticación de dos factores. Esto añadirá una capa adicional de seguridad a tu cuenta, dificultando el acceso de los estafadores.
  8. Notifique a su proveedor de correo electrónico y a la policía cualquier mensaje dudoso. Esto ayudará a otros a evitar ser víctimas del mismo fraude.
  9. Configure los mecanismos de autenticación de correo electrónico de su dominio.

Conclusión

Skysnag automatiza DMARC, SPF y DKIM por usted, ahorrándole los problemas y el tiempo necesarios para la configuración manual. Desbloquee perspectivas, evite problemas de configuración de autenticación de correo electrónico, incluidos SPF y DKIM; y proteja su dominio de la suplantación de identidad con DMARC enforcement estricto , todo de forma autónoma con Skysnag. Comience con Skysnag y regístrese utilizando este enlace para una prueba gratuita hoy mismo y mantenga un nombre de dominio saludable.

Compruebe el cumplimiento de la seguridad DMARC de su dominio

Aplique DMARC, SPF y DKIM en días, no en meses

Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.