¿Qué es la suplantación de identidad de correo electrónico?

La suplantación del correo electrónico se produce cuando los atacantes falsifican los correos para hacerse pasar por remitentes legítimos. Esta táctica es común en los ataques de phishing.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Entender qué es la suplantación del correo electrónico
  • Conocer cómo funciona la suplantación del correo electrónico
  • Conocer consejos para protegerte contra la suplantación de identidad del correo electrónico

Copiar enlace del artículo

¿Qué es la suplantación de identidad de correo electrónico?

En la suplantación de identidad de correo electrónico, un atacante utiliza un encabezado de correo electrónico para ocultar su propia identidad y hacerse pasar por un remitente legítimo. (Un encabezado de correo electrónico es un fragmento de código que contiene detalles importantes sobre el mensaje como el remitente, el destinatario y los datos de seguimiento).

Si bien la suplantación de identidad de correo electrónico es una táctica específica que implica la falsificación de la información del encabezado del correo electrónico, los atacantes pueden utilizar otras tácticas para lograr resultados similares. Por ejemplo, los atacantes pueden crear un dominio de correo electrónico que sea muy parecido al dominio del remitente legítimo, esperando que los destinatarios no se den cuenta del error. Un ejemplo sería usar el dominio "@1egitimatecompany.com" en lugar de "@legitimatecompany.com". Los atacantes también pueden cambiar el nombre en pantalla para hacerse pasar por un remitente: por ejemplo, mediante el envío de correos electrónicos maliciosos desde "LegitimateCEOName@gmail.com" en lugar de "LegitimateCEOName@legitimatecompany.com".

La diferencia fundamental entre estas técnicas es que los intentos exitosos de suplantación de correo electrónico se presentarán como dominios legítimos, como cloudflare.com, en lugar de un dominio mal escrito (janeexecutive@jan3scompany.com) o una dirección no asociada en absoluto con el dominio (janetherealceo@gmail.com). Este artículo se centrará específicamente en los correos electrónicos con encabezados falsificados.

La suplantación de identidad de correo electrónico se engloba en el ámbito más amplio de la suplantación de dominio. En la suplantación de dominio, los atacantes intentan falsificar el nombre de un sitio web (o la dirección de correo electrónico), generalmente como parte de los ataques de phishing. La suplantación de dominio trasciende el correo electrónico y se puede utilizar para crear sitios web falsos o anuncios fraudulentos.

¿Cómo funciona la suplantación del correo electrónico?

Los atacantes utilizan scripts para falsificar los campos que el destinatario del correo electrónico puede ver. Estos campos se encuentran en el encabezado del correo electrónico e incluyen la dirección "de" y la dirección "responder-a". Este es un ejemplo de cómo podrían ser estos campos en un correo electrónico suplantado:

  • De: "Remitente legítimo" email@legitimatecompany.com
  • Responder a: email@legitimatecompany.com

La falsificación de estos campos es posible porque el protocolo simple de transferencia de correo (SMTP) no tiene un método integrado para autenticar las direcciones de correo electrónico. De hecho, las direcciones de correo electrónico del remitente y del destinatario existen en dos lugares dentro de un correo electrónico: el encabezado y el sobre SMTP. El encabezado del correo electrónico incluye los campos que ve el destinatario. El sobre SMTP, sin embargo, contiene la información que los servidores utilizan para entregar un correo electrónico a la dirección correcta. No obstante, estos campos no tienen que coincidir para que un correo electrónico se envíe con éxito. Dado que el sobre SMTP nunca comprueba el encabezado y el destinatario no puede ver la información del sobre, la suplantación del correo electrónico es relativamente fácil.

Un correo electrónico suplantado parece proceder de un remitente legítimo, por lo que se puede engañar a los destinatarios para que divulguen información confidencial, hagan clic en enlaces malintencionados o realicen otras acciones que de otro modo no harían. Por esta razón, la suplantación del correo electrónico se suele emplear en los ataques de phishing.

En algunos casos, los atacantes utilizan otras tácticas para reforzar la credibilidad de un dominio de correo electrónico suplantado. Entre ellas destacan la copia del logotipo de una empresa, la creatividad de la marca y otros elementos de diseño, o el uso de mensajes y lenguaje que parecen relevantes para la empresa imitada.

Cómo protegerse contra la suplantación de correos electrónicos

Los destinatarios de correos electrónicos pueden seguir los siguientes pasos para asegurarse de que no se dejen engañar por la suplantación del correo electrónico:

  • Desconfía de los mensajes que incitan a actuar con rapidez o urgencia: los destinatarios deben sospechar de cualquier correo electrónico inesperado o no solicitado que pida información personal, un pago u otra acción inmediata. Por ejemplo, un mensaje inesperado en el que se solicite cambiar los datos de acceso a una aplicación se debería considerar sospechoso.
  • Inspecciona los encabezados de los correos electrónicos: muchos clientes de correo electrónico ofrecen una forma de ver el encabezado de un correo electrónico. Por ejemplo, <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'> en Gmail, al hacer clic en "Mostrar original" en un correo electrónico individual, se mostrará el encabezado del mismo. Una vez que has visto el encabezado, busca la sección "Recibido". Si aparece un dominio diferente al de la dirección "De", es probable que el correo electrónico sea falso.
  • Utiliza un software que filtre mensajes falsificados: el software contra el correo no deseado puede exigir la autentificación de los correos electrónicos entrantes, bloqueando así los intentos de suplantación.

Los propietarios de dominios también pueden tomar medidas para evitar que los atacantes envíen mensajes desde su dominio. Para ello, las organizaciones pueden crear registros del sistema de nombres de dominio (DNS) específicos para la autenticación. Estos incluyen:

  • Registros SPF: un registro del marco de políticas del remitente (SPF) enumera los servidores que están autorizados a enviar correos electrónicos desde un determinado dominio. De este modo, si alguien se inventara una dirección de correo electrónico asociada a un dominio, no aparecería en el registro SPF y no pasaría la autenticación.
  • Registros DKIM: los registros DKIM (DomainKeys Identified Mail) utilizan un par de claves criptográficas para la autenticación: una pública y otra privada. La clave pública se almacena en el registro DKIM y la clave privada firma digitalmente el encabezado DKIM. Los correos electrónicos suplantados procedentes de un dominio con un registro DKIM no estarán firmados con las claves criptográficas correctas y, por lo tanto, no pasarán la autenticación.
  • Registros DMARC: los registros DMARC (autenticación de mensajes, informes y conformidad basada en dominios) contienen políticas DMARC, que indican a los servidores de correo electrónico qué hacer después de comprobar los registros SPF y DKIM. Los propietarios de dominios pueden establecer reglas que decidan si bloquear, permitir o entregar mensajes en función de estas comprobaciones. Dado que las políticas DMARC revisan otras políticas de autenticación y permiten a los propietarios de dominios establecer reglas más específicas, estos registros añaden otra capa de protección contra la suplantación de identidad del correo electrónico.

En el ámbito de la organización, los responsables de seguridad también pueden adoptar medidas para proteger a los empleados de la suplantación de identidad del correo electrónico mediante la implementación de protección contra el phishing y el malware.

¿Cómo se adapta la autenticación del correo electrónico en su seguridad?

Si bien la autenticación del correo electrónico puede ayudar a protegerlo contra la suplantación de identidad, no es una solución integral de seguridad del correo electrónico. Por ejemplo, la autenticación del correo electrónico no tiene en cuenta otras técnicas comunes de phishing, tales como los dominios de réplica o los correos electrónicos enviados desde dominios legítimos en riesgo.

Cloudflare Area 1 Email Security ofrece un enfoque más global. Rastrea Internet de forma preventiva para identificar la infraestructura de los atacantes, evitando así los ataques de phishing y protegiendo las bandejas de entrada.