Hay algo a lo que todo usuario de Internet, especialmente aquellos que usan servicios de correo electrónico, puede enfrentarse constantemente… Se trata del Email Spoofing.
El término viene del inglés “Spoof” que significa falsificar.
Un email falsificado es un mensaje de correo cuya estructura ha sido alterada para parecer que lo ha escrito otra persona.
Básicamente, recibes un email que pareciera haber sido enviado desde tu propia casilla de correos, como si un intruso hubiera logrado tener acceso a tu cuenta y haber logrado enviarte un correo desde tu propia casilla de correos.
Usualmente, quien envía en email cambia el nombre, la dirección de correo y el cuerpo del mensaje para hacer que este parezca propiedad de un ente legítimo y confiable.
Quienes llevan a cabo esa práctica son conocidos como “scammers” y la intención por la que modifican los correos está ligada a los pasos que puede seguir una persona luego de recibir el mensaje.
Su propósito puede ser obtener información adicional sobre el receptor, del cual pretenden conocer datos personales, o una recompensa económica para evitar que se divulgue información que el supuesto intruso ha logrado obtener del computador de la víctima.
¿Cómo se realiza?
Los falsificadores de correo atacan primordialmente las áreas con las que el usuario que recibe el Email se topa primero, es decir, aquellas que ve en primera instancia; por ejemplo, el nombre, la dirección de correo remitente o de respuesta y la dirección IP.
Las primeras, pueden ser fácil y rápidamente alteradas usando las configuraciones de los servidores o softwares de correo como Microsoft, Gmail, Outlook, entre otros; mientras que la segunda, la dirección IP, requiere acciones más avanzadas y profesionales para ser modificada, como cambios a nivel de red, programas del computador o instalación de aplicaciones.
Muchos de los correos falsificados son hechos a mano, sin embargo, existen softwares desarrollados específicamente para crearlos. Entre ellos destacan dos…
Dos tipos comunes de Spoofing Email Softwares:
1. Programas Ratware de correos masivos: estos se están haciendo cada vez más populares entre los scammers ya que permiten falsificar la dirección de correo del remitente de manera sencilla.
Trabaja creando, o tomando ilegalmente, grandes listas de correos a las que le envía mensajes tipo spam.
2. Mass-mailing worms o gusanos de correos en lote: estos se tratan de programas de autoreplicación que funcionan de forma muy similar a los virus.
Una vez instalado en el computador, puede apropiarse de la información de correo del receptor, luego la falsifica, redacta un mensaje que parezca hecho por el usuario y lo envía a sus listas de contactos. Cabe destacar que esto lo puede hacer con la dirección principal del correo al que tenga acceso (el que está abierto en el computador infectado) o con alguna dirección que obtenga de sus registros.
¿Por qué lo hacen?
El Email Spoofing es llevado a cabo con el objetivo de obtener información personal destinada, probablemente, a estafar.
Uno de los crímenes cibernéticos más conocidos es el “phising”, práctica que consiste en obtener datos de forma fraudulenta, como detalles de inicio de sesión, tarjetas y cuentas bancarias, contraseñas, etcétera.
¿Cómo reconocerlo?
Identificar un correo falsificado no es tan sencillo como parece, no obstante, hay muchos factores que pueden indicarnos que estamos frente a uno.
Lo primordial es estar atento y confiar en lo que indique la intuición, por muy ilógico que parezca. El escepticismo es un gran aliado en estos casos debido a que si un email luce fraudulento o poco confiable, probablemente lo sea.
También es típico, actualmente, que algunas páginas o personas hagan que otros revisen su bandeja de Spam para poder ubicar algún mensaje enviado y este puede ser el error que te ponga en riesgo. Los Spoofed Emails están diseñados para evadir los detectores de spam pero no todos logran pasar la prueba ya que estos identificadores han evolucionado con el paso del tiempo y ahora son más efectivos.
Por lo tanto, un correo que sea catalogado como “spam” es, automáticamente, poco confiable; así que se debe proceder a verificar de manera precisa si se trata de algo seguro antes de llevar a cabo acciones consecuentes, como abrir un link o descargar un archivo adjunto.
Siempre es prudente recordar que un correo infectado o falsificado tiene más tendencia a ser considerado “Spam” que uno normal.
Al poder acceder a las cabeceras del email, se tiene la posibilidad de saber si se trata de un correo legítimo o no. Para ello, en los casos como Gmail, se debe hacer clic en “ver original” para revelar la información de envío detallada.
Una vez se tengan esos datos, se procede a estudiar lo siguientes aspectos:
1. En campo Received se muestra de donde proviene el email. Es usual que los scammers usen servicios en línea creados para enviar correos falsos, uno de ellos es emkei.cz, así que si un mensaje especifica ser enviado desde esa dirección, hay que tener cuidado.
2. En el Received SPF puede aparecer un softfail, lo que indica que la dirección desde donde se realizó el envío del correo no se encuentra dentro de las admitidas por el dominio.
Esto no detecta directamente si el mensaje se trata de sustitución ya que es algo que configura el servidor pero es muy poco probable que grandes empresas no hayan definido esos parámetros.
¿Cómo evitar el Email Spoofing?
Para poder prevenir el recibir correos falsificados, se pueden seguir las medidas descritas a continuación:
1. Sender Policy Framework (SPF): está diseñada para ayudar a identificar los correos que han sido alterados o falsificados gracias a sus herramientas de validación de la fuente.
Usando esta verificación, un dominio puede autorizar a un servidor para que éste le envíe correos electrónicos; de esta manera, si alguien emite un mensaje desde un servidor distinto no autorizado, simplemente no se recibirá o será marcado como “spam”.
El problema que se puede tener con este tipo de procesos es que generalmente requieren que ambas partes usen la verificación SPF o no funcionará.
2. Domain-based Message Authentication Reporting and Conformance (DMARC): en español “Autenticación de mensajes, informes y conformidad basada en dominios”, es un protocolo de autenticación de correos electrónicos que le permite al dueño de un sitio web tener control para proteger sus dominios contra el phishing o ataques de redireccionamiento o sustitución.
Te informa y da certeza al destinatario de que el correo es seguro y proviene de un dominio confiable.
3. DomainKeys Identified Mail: consiste en un mecanismo de autenticación de correo electrónico que le permite a una organización hacerse responsable por el envío de un correo para que el destinatario o receptor pueda validarlo.
Se dice que este procedimiento tiene la capacidad de romper los sistemas de correo mal configurados y utiliza criptografía de clave pública (conocidas como keys) para permitir al dueño del dominio u origen firmar electrónicamente aquellos emails legítimos para que quien lo reciba pueda verificarlo y saber si es seguro.
Resumen
El email Spoofing o suplantación de identidad saca provecho de la falta de un mecanismo de autenticación en el protocolo SMTP, es decir, Simple Mail Transfer, el principal protocolo usado para el envío de correos electrónicos.
Por esa razón, lo ideal es poder revisar previamente quien es el emisor del correo y, en consecuencia, evitar ser víctimas de delitos cibernéticos como éste.