Suplantación de correo electrónico

Creación de mensajes de correo no deseado o de phishing con una identidad o dirección de remitente falsificada

La suplantación de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsa . ^[1] El término se aplica a los mensajes de correo electrónico que pretenden provenir de una dirección que en realidad no es la del remitente; el correo enviado en respuesta a esa dirección puede rebotar o ser entregado a una parte no relacionada cuya identidad ha sido falsificada. La dirección de correo electrónico desechable o correo electrónico "enmascarado" es un tema diferente, que proporciona una dirección de correo electrónico enmascarada que no es la dirección normal del usuario, que no se revela (por ejemplo, para que no pueda ser recolectada ), pero reenvía el correo enviado a la dirección real del usuario. ^[2]

Los protocolos de transmisión originales utilizados para el correo electrónico no tienen métodos de autenticación integrados: esta deficiencia permite que los correos electrónicos de spam y phishing utilicen la suplantación de identidad para engañar al destinatario. Las contramedidas más recientes han dificultado la suplantación de identidad desde fuentes de Internet, pero no la han eliminado por completo; pocas redes internas tienen defensas contra un correo electrónico falso procedente del ordenador comprometido de un colega en esa red. Las personas y las empresas engañadas por correos electrónicos falsos pueden sufrir importantes pérdidas económicas; en particular, los correos electrónicos falsos se utilizan a menudo para infectar ordenadores con ransomware .

Detalles técnicos

Cuando se envía un correo electrónico mediante el Protocolo simple de transferencia de correo (SMTP) , la conexión inicial proporciona dos datos de dirección:

• CORREO DESDE: generalmente se presenta al destinatario como el encabezado Return-path: pero normalmente no es visible para el usuario final y, de manera predeterminada, no se realizan verificaciones de que el sistema de envío esté autorizado a enviar en nombre de esa dirección.
• RCPT TO: especifica a qué dirección de correo electrónico se envía el correo electrónico, normalmente no es visible para el usuario final, pero puede estar presente en los encabezados como parte del encabezado "Recibido:".

En conjunto, a veces se los denomina direccionamiento de "sobre", una analogía con un sobre de papel tradicional . ^[3] A menos que el servidor de correo receptor indique que tiene problemas con alguno de estos elementos, el sistema de envío envía el comando "DATA" y, por lo general, envía varios elementos de encabezado, incluidos:

• De: Joe Q Doe <[email protected]>: la dirección visible para el destinatario, pero nuevamente, de manera predeterminada no se realizan verificaciones de que el sistema de envío esté autorizado a enviar en nombre de esa dirección.
• Responder a: Jane Roe <[email protected]> – tampoco se ha marcado
• Remitente: Jin Jo <[email protected]> – tampoco marcado

El resultado es que el destinatario del correo electrónico ve el mensaje como si procediera de la dirección que aparece en el encabezado From :. A veces, es posible que encuentre la dirección MAIL FROM y, si responde al correo electrónico, se dirigirá a la dirección que aparece en el encabezado From: o Reply-to:, pero ninguna de estas direcciones suele ser fiable, ^{[4] por lo que} los mensajes de rebote automáticos pueden generar retrodispersión .

Aunque la suplantación de correo electrónico es eficaz para falsificar la dirección de correo electrónico, la dirección IP de la computadora que envía el correo generalmente se puede identificar a partir de las líneas "Recibido:" en el encabezado del correo electrónico. ^[5] Sin embargo, en casos maliciosos, es probable que se trate de la computadora de un tercero inocente infectado por malware que envía el correo electrónico sin el conocimiento del propietario.

Uso malintencionado de suplantación de identidad

Las estafas de phishing y de compromiso de correo electrónico comercial generalmente implican un elemento de suplantación de correo electrónico.

La suplantación de identidad por correo electrónico ha sido responsable de incidentes públicos con graves consecuencias comerciales y financieras. Este fue el caso de un correo electrónico de octubre de 2013 enviado a una agencia de noticias que fue falsificado para que pareciera que provenía de la empresa sueca Fingerprint Cards . El correo electrónico afirmaba que Samsung había ofrecido comprar la empresa. La noticia se difundió y el precio de las acciones de la empresa aumentó un 50%. ^[6]

Los programas maliciosos como Klez y Sober , entre muchos otros ejemplos más modernos, suelen buscar direcciones de correo electrónico dentro de la computadora que han infectado y las utilizan como objetivos para los correos electrónicos y también para crear campos de remitente falsos y creíbles en los correos electrónicos que envían. ^{[ cita requerida ]} Esto es para garantizar que los correos electrónicos tengan más probabilidades de ser abiertos. Por ejemplo:

1. A Alice se le envía un correo electrónico infectado que ella abre, ejecutando el código del gusano.
2. El código del gusano busca en la libreta de direcciones de correo electrónico de Alice y encuentra las direcciones de Bob y Charlie.
3. Desde la computadora de Alice, el gusano envía un correo electrónico infectado a Bob, pero está falsificado para que parezca enviado por Charlie.

En este caso, aunque el sistema de Bob detecte que el correo entrante contiene malware, considera que la fuente es Charlie, aunque en realidad provenga del ordenador de Alice. Mientras tanto, Alice puede no saber que su ordenador ha sido infectado y Charlie no sabe nada al respecto, a menos que reciba un mensaje de error de Bob.

El efecto sobre los servidores de correo

Tradicionalmente, los servidores de correo podían aceptar un elemento de correo y luego enviar un informe de no entrega o un mensaje de "rebote" si no se podía entregar o se había puesto en cuarentena por algún motivo. Estos se enviaban a la dirección "MAIL FROM:" (de:), también conocida como "Ruta de retorno". Con el aumento masivo de direcciones falsificadas, la mejor práctica ahora es no generar informes de no entrega para el correo no deseado, los virus, etc. detectados ^[7], sino rechazar el correo electrónico durante la transacción SMTP. Cuando los administradores de correo no adoptan este enfoque, sus sistemas son culpables de enviar correos electrónicos de " retrodispersión " a partes inocentes (en sí mismo una forma de correo no deseado) o de ser utilizados para realizar ataques de " trabajo de Joe ".

Contramedidas

El sistema SSL/TLS utilizado para cifrar el tráfico de correo electrónico de servidor a servidor también se puede utilizar para imponer la autenticación, pero en la práctica rara vez se utiliza ^[8] , y una variedad de otras soluciones potenciales tampoco han logrado ganar terreno.

Se han utilizado ampliamente varios sistemas defensivos, entre ellos:

• Sender Policy Framework (SPF): un método de autenticación de correo electrónico diseñado para detectar la falsificación de direcciones de remitente durante la entrega del correo electrónico. ^[9]
• DomainKeys Identified Mail (DKIM): un método de autenticación de correo electrónico diseñado para detectar direcciones de remitentes falsificadas en el correo electrónico (suplantación de correo electrónico), una técnica que se utiliza a menudo en el phishing y el correo no deseado .
• Autenticación, informes y conformidad de mensajes basados ​​en dominios (DMARC): un protocolo de autenticación de correo electrónico . Está diseñado para brindarles a los propietarios de dominios de correo electrónico la capacidad de proteger su dominio contra el uso no autorizado, comúnmente conocido como suplantación de correo electrónico. El propósito y el resultado principal de la implementación de DMARC es proteger un dominio contra el uso en ataques de vulneración de correo electrónico empresarial , correos electrónicos de phishing , estafas por correo electrónico y otras actividades de amenazas cibernéticas .

Para evitar de forma eficaz el envío de correos electrónicos falsificados, los dominios de envío, sus servidores de correo y el sistema de recepción deben estar configurados correctamente para estos estándares de autenticación más elevados. Aunque su uso está aumentando, las estimaciones varían ampliamente en cuanto al porcentaje de correos electrónicos que no tienen ningún tipo de autenticación de dominio: desde el 8,6 % ^[10] hasta "casi la mitad". ^{[11] [12] [13]} Por este motivo, los sistemas de recepción de correo suelen tener una serie de ajustes para configurar cómo tratan los dominios o correos electrónicos mal configurados. ^{[14] [15]}

Si bien se han realizado investigaciones para mejorar la seguridad del correo electrónico, se ha puesto poco énfasis en informar a los usuarios cuyas direcciones de correo electrónico se han utilizado para suplantar la identidad. Actualmente, solo el destinatario del correo electrónico puede identificar un correo electrónico falso, y los usuarios cuyas direcciones se han suplantado no lo saben a menos que el destinatario examine manualmente el mensaje. ^{[ cita requerida ]}

Correo electrónico comercial

Los ataques de vulneración de correo electrónico empresarial son una clase de delito cibernético que utiliza el fraude por correo electrónico para atacar a las organizaciones. Algunos ejemplos incluyen estafas de facturas y ataques de phishing selectivos , que están diseñados para recopilar datos para otras actividades delictivas. Una empresa engañada por un correo electrónico falso puede sufrir daños adicionales a nivel financiero, de continuidad comercial y de reputación. Los correos electrónicos falsos también se pueden utilizar para difundir malware .

Por lo general, un ataque se dirige a roles específicos de empleados dentro de una organización mediante el envío de correos electrónicos falsos que representan fraudulentamente a un colega de alto rango, un cliente de confianza o un proveedor. ^[16] (Este tipo de ataque se conoce como phishing selectivo ). El correo electrónico emitirá instrucciones, como aprobar pagos o liberar datos de clientes. Los correos electrónicos a menudo utilizan ingeniería social para engañar a la víctima para que realice transferencias de dinero a la cuenta bancaria del estafador. ^[17]

La Oficina Federal de Investigaciones de los Estados Unidos registró  pérdidas estadounidenses e internacionales por 26.000 millones de dólares asociadas a ataques BEC entre junio de 2016 y julio de 2019. ^[18] Cifras más recientes estiman pérdidas de más de 50.000 millones de dólares  entre 2013 y 2022. ^[19]

Incidentes

• En 2017, el zoológico de Dublín perdió 130.000 euros en una estafa de este tipo: se llevaron un total de 500.000 euros, aunque recuperaron la mayor parte. ^[20]
• La empresa aeroespacial austriaca FACC AG fue estafada por 42  millones de euros (47  millones de dólares) a través de un ataque en febrero de 2016, y posteriormente despidió tanto al director financiero como al director ejecutivo. ^[21]
• Te Wananga o Aotearoa en Nueva Zelanda fue defraudada por 120.000 dólares (NZD). ^[22]
• El Servicio de Bomberos de Nueva Zelanda fue estafado por 52.000 dólares en 2015. ^[23]
• Ubiquiti Networks perdió 46,7  millones de dólares a través de una estafa de este tipo en 2015. ^[24]
• Save the Children USA fue víctima de una  estafa cibernética de un millón de dólares en 2017. ^[25]
• Las organizaciones australianas que informaron sobre ataques a correos electrónicos comerciales comprometidos ante la Comisión Australiana de Competencia y Consumo ^[26] sufrieron pérdidas financieras de aproximadamente 2.800.000 dólares australianos durante el año 2018. ^[27]
• En 2013, Evaldas Rimasauskas y sus empleados enviaron miles de correos electrónicos fraudulentos para obtener acceso a los sistemas de correo electrónico de las empresas. ^[28]

Véase también

• Carta en cadena  : Carta escrita en sucesión por un grupo de personas.
• Virus informático  : Programa informático que modifica otros programas para replicarse y propagarse.
• Gusano informático  : programa malicioso autorreplicante
• Normativa de ciberseguridad  : descripción general de los requisitos de garantía de la información (IA)
• Delito cibernético  : tipo de delito basado en redes informáticas
• Nombre de dominio#Suplantación de nombre de dominio  : cadena de identificación en Internet que puede verse comprometida
• DMARC  – Sistema para prevenir el fraude por correo electrónico
• Autenticación de correo electrónico  : técnicas destinadas a proporcionar información verificable sobre el origen de los mensajes de correo electrónico.
• Engaño  : invención deliberada y generalizada presentada como verdad
• Joe Job  : correo electrónico no solicitado con datos de remitente falsos
• Phishing  : una forma de ingeniería social
• Llamada de broma  : llamada telefónica que tiene como fin hacer una broma o una travesura.
• Ingeniería social (seguridad)  : manipulación psicológica de personas para que realicen acciones o divulguen información confidencial.
• Falsificación de sitios web  : creación de un sitio web, como engaño, con la intención de engañar a los lectores.

Referencias

1. Varshney, Gaurav; Misra, Manoj; Atrey, Pradeep K. (26 de octubre de 2016). "Una encuesta y clasificación de esquemas de detección de phishing web: el phishing es un acto fraudulento que se utiliza para engañar a los usuarios". Seguridad y redes de comunicación . 9 (18): 6266–6284. doi :10.1002/sec.1674.
2. Yee, Alaina (6 de junio de 2022). "¿Qué es el correo electrónico enmascarado? Esta nueva versión de una vieja práctica potencia su seguridad". PCWorld .
3. Siebenmann, Chris. "Una descripción general rápida de SMTP". Universidad de Toronto. Archivado desde el original el 3 de abril de 2019. Consultado el 8 de abril de 2019 .
4. Barnes, Bill (12 de marzo de 2002). "Suplantadores de correo electrónico". Slate . Archivado desde el original el 13 de abril de 2019 . Consultado el 8 de abril de 2019 .
5. "Suplantadores de correo electrónico: cómo identificar correos electrónicos "falsificados"". Archivado desde el original el 21 de junio de 2017. Consultado el 8 de abril de 2019 .
6. Mundy, Simon (11 de octubre de 2013). "Las huellas de los estafadores en el acuerdo falso con Samsung" . Financial Times . Archivado desde el original el 10 de febrero de 2019. Consultado el 8 de abril de 2019 .
7. Véase RFC3834
8. "Seguridad de la capa de transporte para correo entrante". Servicios de Google Postini . Archivado desde el original el 2016-11-11 . Consultado el 2019-04-08 .
9. Carranza, Pablo (16 de julio de 2013). "Cómo usar un registro SPF para prevenir la suplantación de identidad y mejorar la confiabilidad del correo electrónico". DigitalOcean . Archivado desde el original el 20 de abril de 2015 . Consultado el 23 de septiembre de 2019 . Un registro SPF cuidadosamente diseñado reducirá la probabilidad de que su nombre de dominio sea suplantado de manera fraudulenta y evitará que sus mensajes se marquen como spam antes de que lleguen a sus destinatarios. La suplantación de identidad de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsificada; algo que es fácil de hacer porque muchos servidores de correo no realizan la autenticación. Los correos electrónicos de spam y phishing generalmente utilizan dicha suplantación de identidad para engañar al destinatario sobre el origen del mensaje.
10. Bursztein, Elie; Eranti, Vijay (6 de diciembre de 2013). "Los esfuerzos en Internet para combatir el phishing por correo electrónico están dando resultados". Blog de seguridad de Google. Archivado desde el original el 4 de abril de 2019. Consultado el 8 de abril de 2019 .
11. Eggert, Lars. "Tendencias de implementación de SPF". Archivado desde el original el 2 de abril de 2016. Consultado el 8 de abril de 2019 .
12. Eggert, Lars. "Tendencias de implementación de DKIM". Archivado desde el original el 22 de agosto de 2018. Consultado el 8 de abril de 2019 .
13. "En el primer año, DMARC protege el 60 por ciento de los buzones de correo de los consumidores a nivel mundial". dmarc.org . 2013-02-06. Archivado desde el original el 2018-09-20 . Consultado el 2019-04-08 .
14. "Prevenir mensajes falsificados con la detección de remitentes falsificados". Archivado desde el original el 23 de marzo de 2019. Consultado el 8 de abril de 2019 .
15. "Protección contra suplantación de identidad en Office 365". Archivado desde el original el 9 de abril de 2019. Consultado el 8 de abril de 2019 .
16. Joan Goodchild (20 de junio de 2018). «Cómo reconocer un ataque de vulneración de correo electrónico empresarial». Security Intelligence . Archivado desde el original el 23 de marzo de 2019. Consultado el 11 de marzo de 2019 .
17. "Consejos para evitar ataques de phishing e ingeniería social". www.bankinfosecurity.com . Archivado desde el original el 2020-12-02 . Consultado el 2020-11-17 .
18. "La vulneración del correo electrónico empresarial es extremadamente costosa y cada vez más evitable". Forbes Media . 15 de abril de 2020. Archivado desde el original el 23 de octubre de 2021 . Consultado el 2 de diciembre de 2020 .
19. "Compromiso de correo electrónico empresarial: la estafa de 50 mil millones de dólares".
20. "El Zoo de Dublín perdió 500.000 euros tras ser víctima de una estafa cibernética". 22 de diciembre de 2017. Archivado desde el original el 8 de agosto de 2019 . Consultado el 23 de octubre de 2021 .
21. "La FACC de Austria, afectada por un fraude cibernético, despide a su director general". Reuters . 26 de mayo de 2016. Archivado desde el original el 21 de marzo de 2021 . Consultado el 20 de diciembre de 2018 .
22. "Te Wananga o Aotearoa atrapado en una estafa financiera de $120k". NZ Herald. 20 de diciembre de 2015. Archivado desde el original el 20 de diciembre de 2018. Consultado el 20 de diciembre de 2018 .
23. "El servicio de bomberos fue estafado por $52,000". RNZ News . 23 de diciembre de 2015. Archivado desde el original el 20 de diciembre de 2018 . Consultado el 20 de diciembre de 2018 .
24. Hackett, Robert (10 de agosto de 2015). «Los estafadores engañaron a esta empresa para que les entregara 40 millones de dólares». Revista Fortune . Archivado desde el original el 20 de diciembre de 2018. Consultado el 20 de diciembre de 2018 .
25. Wallack, Todd (13 de diciembre de 2018). «Hackers engañaron a Save the Children para que enviara un millón de dólares a una cuenta falsa». The Boston Globe . Archivado desde el original el 20 de diciembre de 2018. Consultado el 20 de diciembre de 2018 .
26. Comisión Australiana de Competencia y Consumo
27. Powell, Dominic (27 de noviembre de 2018). «Una empresa pierde 300.000 dólares por una estafa de correo electrónico 'falsificada': cómo protegerse de ser suplantado». Smart Company . Archivado desde el original el 27 de noviembre de 2018. Consultado el 14 de diciembre de 2018 .
28. "Sentencia en el esquema BEC". Oficina Federal de Investigaciones . Archivado desde el original el 2020-01-31 . Consultado el 2020-02-01 .

Enlaces externos

• "Consejo técnico de 2002: correo electrónico falsificado". Biblioteca digital SEI . Universidad Carnegie Mellon. 1 de enero de 2002. Consultado el 19 de diciembre de 2019 .