La suplantación de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsificada . [1] El término se aplica al correo electrónico que pretende provenir de una dirección que en realidad no es la del remitente; el correo enviado en respuesta a esa dirección puede rebotar o entregarse a una parte no relacionada cuya identidad ha sido falsificada. La dirección de correo electrónico desechable o correo electrónico "enmascarado" es un tema diferente, ya que proporciona una dirección de correo electrónico enmascarada que no es la dirección normal del usuario, que no se divulga (por ejemplo, para que no pueda ser recolectada ), pero reenvía el correo que se le envía al dirección real del usuario. [2]
Los protocolos de transmisión originales utilizados para el correo electrónico no tienen métodos de autenticación integrados: esta deficiencia permite que los correos electrónicos no deseados y de phishing utilicen suplantación de identidad para engañar al destinatario. Contramedidas más recientes han dificultado este tipo de suplantación de identidad desde fuentes de Internet, pero no la han eliminado por completo; Pocas redes internas tienen defensas contra un correo electrónico falso procedente de la computadora comprometida de un colega en esa red. Las personas y empresas engañadas por correos electrónicos falsos pueden sufrir pérdidas financieras importantes; en particular, los correos electrónicos falsificados suelen utilizarse para infectar ordenadores con ransomware .
Cuando se envía un correo electrónico del Protocolo simple de transferencia de correo (SMTP) , la conexión inicial proporciona dos datos de dirección:
En conjunto, a veces se les denomina dirección de "sobre", una analogía con un sobre de papel tradicional . [3] A menos que el servidor de correo receptor indique que tiene problemas con cualquiera de estos elementos, el sistema emisor envía el comando "DATOS" y normalmente envía varios elementos de encabezado, que incluyen:
El resultado es que el destinatario del correo electrónico ve que el correo electrónico proviene de la dirección en el encabezado De:. A veces es posible que puedan encontrar la dirección CORREO DE y, si responden al correo electrónico, irá a la dirección presentada en el encabezado De: o Responder a:, pero ninguna de estas direcciones suele ser confiable, [4 ] por lo que los mensajes de rebote automatizados pueden generar retrodispersión .
Aunque la suplantación de correo electrónico es eficaz para falsificar la dirección de correo electrónico, la dirección IP de la computadora que envía el correo generalmente se puede identificar en las líneas "Recibido:" en el encabezado del correo electrónico. [5] Sin embargo, en casos maliciosos, es probable que se trate de la computadora de un tercero inocente infectado por malware que envía el correo electrónico sin el conocimiento del propietario.
Las estafas de phishing y de vulneración del correo electrónico empresarial (ver más abajo) generalmente implican un elemento de suplantación de correo electrónico.
La suplantación de correo electrónico ha sido responsable de incidentes públicos con graves consecuencias comerciales y financieras. Este fue el caso de un correo electrónico de octubre de 2013 enviado a una agencia de noticias que fue falsificado para que pareciera que pertenecía a la empresa sueca Fingerprint Cards . El correo electrónico decía que Samsung se ofreció a comprar la empresa. La noticia se difundió y el tipo de cambio subió un 50%. [6]
El malware como Klez y Sober , entre muchos ejemplos más modernos, a menudo busca direcciones de correo electrónico dentro de la computadora que ha infectado y utiliza esas direcciones como objetivos para el correo electrónico y también para crear campos De remitente falsificados creíbles en los correos electrónicos que envían. [ cita necesaria ] Esto es para garantizar que sea más probable que se abran los correos electrónicos. Por ejemplo:
En este caso, incluso si el sistema de Bob detecta que el correo entrante contiene malware, ve que la fuente es Charlie, aunque en realidad provino de la computadora de Alice. Mientras tanto, Alice puede no saber que su computadora ha sido infectada y Charlie no sabe nada al respecto, a menos que reciba un mensaje de error de Bob.
Tradicionalmente, los servidores de correo podían aceptar un elemento de correo y luego enviar un informe de no entrega o un mensaje de "rebote" si no se pudo entregar o se había puesto en cuarentena por algún motivo. Estos se enviarán a la dirección "MAIL FROM:", también conocida como "Ruta de retorno". Con el aumento masivo de direcciones falsificadas, la mejor práctica ahora es no generar NDR para spam, virus, etc. detectados, [7] sino rechazar el correo electrónico durante la transacción SMTP. Cuando los administradores de correo no adoptan este enfoque, sus sistemas son culpables de enviar correos electrónicos " retrodispersados " a partes inocentes (una forma en sí misma de spam) o de ser utilizados para realizar ataques tipo " Joe job ".
El sistema SSL/TLS utilizado para cifrar el tráfico de correo electrónico de servidor a servidor también se puede utilizar para imponer la autenticación, pero en la práctica rara vez se utiliza, [8] y una variedad de otras posibles soluciones tampoco han logrado ganar terreno.
Se han utilizado ampliamente varios sistemas defensivos, que incluyen:
Para detener eficazmente la entrega de correo electrónico falsificado, los dominios de envío, sus servidores de correo y el sistema de recepción deben configurarse correctamente para estos estándares más altos de autenticación. Aunque su uso está aumentando, las estimaciones varían ampliamente en cuanto al porcentaje de correos electrónicos que no tienen ningún tipo de autenticación de dominio: del 8,6% [10] a "casi la mitad". [11] [12] [13] Por esta razón, los sistemas de recepción de correo generalmente tienen una variedad de configuraciones para configurar cómo tratan los dominios o el correo electrónico mal configurados. [14] [15]
Si bien se han realizado investigaciones para mejorar la seguridad del correo electrónico, se ha puesto poco énfasis en informar a los usuarios cuyas direcciones de correo electrónico se han utilizado para suplantación de identidad. Actualmente, sólo el destinatario del correo electrónico puede identificar un correo electrónico falso, y los usuarios cuyas direcciones están falsificadas no se dan cuenta a menos que el destinatario examine manualmente el mensaje. [ cita necesaria ]
Los ataques de compromiso de correo electrónico empresarial son una clase de delito cibernético que utiliza el fraude por correo electrónico para atacar a las organizaciones. Los ejemplos incluyen estafas de facturas y ataques de phishing diseñados para recopilar datos para otras actividades delictivas. Una empresa engañada por un correo electrónico falso puede sufrir daños adicionales financieros, de continuidad del negocio y de reputación. Los correos electrónicos falsos también pueden utilizarse para difundir malware .
Normalmente, un ataque se dirige a funciones específicas de empleados dentro de una organización mediante el envío de correos electrónicos falsos que representan de manera fraudulenta a un colega senior, un cliente de confianza o un proveedor. [16] (Este tipo de ataque se conoce como Spear Phishing ). El correo electrónico emitirá instrucciones, como aprobar pagos o revelar datos del cliente. Los correos electrónicos suelen utilizar ingeniería social para engañar a la víctima para que realice transferencias de dinero a la cuenta bancaria del estafador. [17]
La Oficina Federal de Investigaciones de los Estados Unidos registró 26 mil millones de dólares en pérdidas estadounidenses e internacionales asociadas con los ataques BEC entre junio de 2016 y julio de 2019. [18] Cifras más recientes estiman pérdidas de más de 50 mil millones de dólares entre 2013 y 2022. [19]
Un registro SPF cuidadosamente diseñado reducirá la probabilidad de que su nombre de dominio sea falsificado de manera fraudulenta y evitará que sus mensajes sean marcados como spam antes de que lleguen a sus destinatarios. La suplantación de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsificada; algo que es sencillo de hacer porque muchos servidores de correo no realizan autenticación. Los correos electrónicos de spam y phishing suelen utilizar este tipo de suplantación para engañar al destinatario sobre el origen del mensaje.