El spoofing de dominios en correos electrónicos es una táctica comúnmente empleada en el ámbito del cibercrimen. Hacerse pasar por una empresa u organización es una estrategia efectiva para presentarse como una figura de autoridad confiable ante posibles víctimas. Este primer contacto a menudo se aprovecha al incluir un enlace a un sitio malicioso o un archivo adjunto que pueda infectar el dispositivo del destinatario.
Este tipo de ciberataques no solo impactan a quienes reciben el correo malicioso, sino que también, de manera indirecta, afectan a la empresa que es suplantada. Estas organizaciones arriesgan, como mínimo, su reputación y credibilidad, y en casos más severos, pueden enfrentar consecuencias legales por no llevar a cabo acciones adecuadas (o inexistentes) para concienciar a sus clientes.
A pesar de que el spoofing de dominio puede ocurrir debido al diseño de los protocolos utilizados en el envío de correos electrónicos, hay mecanismos de seguridad que permiten a los administradores de dominios corporativos prevenir estos envíos o distinguir entre los correos auténticos y los falsificados.
Registros SPF.
Un registro SPF (Sender Policy Framework) es un registro DNS de texto sencillo que ayuda a determinar qué servidores de correo están autorizados para enviar mensajes en nombre del dominio gestionado. Estos registros se diseñaron especialmente para prevenir el email Spoofing y representan una de las medidas más simples que se pueden implementar.
Con un registro SPF debidamente configurado, cada servidor de correo receptor llevará a cabo una consulta DNS para verificar si el servidor emisor está entre los autorizados. Si coincide, el correo será autorizado y avanzará a otros controles. En caso contrario, podría ser clasificado como spam o ser rechazado, según la política del registro.
Los campos de un registro SPF permiten filtrar correos electrónicos según diferentes orígenes, y los que se pueden configurar son:
- ip4: Autoriza a servidores mediante una o un rango de direcciones IPv4.
- ip6: Autoriza a servidores mediante una o un rango de direcciones IPv6.
- a: Autoriza a servidores por su nombre de dominio.
- mx: Autoriza a servidores por el registro MX del dominio.
- include: Autoriza a remitentes de correos externos por su dominio.
- all: Decide sobre todos los no indicados. Si se indica -all, todos los correos que no cumplan la validación serán rechazados por el receptor. De utilizar ~all, la versión más flexible, todos los que no cumplan la validación serán aceptados pero marcados como spam.
Veamos algunos ejemplos de registros SPF.
v=spf1 ip4: 192.168.1.10 ip4:192.168.2.20 -all => Autoriza dos servidores emisores
v=spf1 include:spf.protection.outlook.com a:mail.ejemplo.com -all => Permite el servidor que resuelve a mail.ejemplo.com y a proveedores de correo de Microsoft365.
v=spf1 mx ~all => Autoriza correos provenientes de servidores definidos en los propios registros MX, y aquellos no autorizados se envían, pero marcan como sospechosos.
Es fundamental tener en cuenta que una configuración incorrecta del registro SPF puede ocasionar problemas en la entrega de correos enviados desde el servidor. Por ello, recomendamos verificar estas configuraciones antes de activarlas.
DKIM y DMARC.
DKIM (por sus siglas en inglés, DomainKeys Identified Mail) es un mecanismo adicional de autorización de correos que utiliza criptografía asimétrica para garantizar la autenticidad del remitente. Actúa como una capa adicional sobre los registros SPF, proporcionando una mayor protección contra el spoofing y otros ataques relacionados.
El funcionamiento de DKIM se puede resumir en dos componentes principales. Primero, la firma del correo saliente: cuando un mensaje se envía desde un dominio, el servidor que tiene DKIM configurado añade una firma digital en los encabezados del correo, la cual es generada utilizando la clave privada de ese servidor. Posteriormente, el servidor receptor accede a la clave pública del DNS del dominio emisor y verifica la firma, considerando como legítimos aquellos correos que coinciden.
Este mecanismo no solo evita el spoofing del dominio del servidor emisor, sino que también aumenta la confianza del receptor. Un correo electrónico que proviene de un dominio con DKIM configurado tiene menos probabilidades de ser erróneamente clasificado como spam.
La configuración de DKIM no es complicada, pero implica varios pasos. Por ello, sugerimos seguir las guías de los servicios que utiliza tu organización, como Google Workspace o Microsoft 365.
Como adición a estas dos tecnologías, aparece DMARC (Autenticación, Informe y Conformidad Basada en el Dominio). Este protocolo ha sido creado para asegurar no solo el cumplimiento de las validaciones SPF y DKIM, sino también para definir las acciones a tomar en caso de que los envíos no las cumplan.
De acuerdo con la configuración de DMARC, el servidor receptor tiene la opción de aceptar, rechazar o poner en cuarentena (por ejemplo, en la carpeta de spam) un correo electrónico que no cumpla con las políticas definidas.Además, tiene la opción de enviar informes sobre estas incidencias al administrador de forma regular, lo que facilita el monitoreo de intentos de suplantación de identidad o spoofing, permitiendo así ajustar las políticas según sea necesario.
BIMI.
Hasta el momento, todas las políticas mencionadas en este artículo son claras para el usuario final, quien es el destinatario del correo electrónico. Aunque son imprescindibles, también es crucial asegurar de manera explícita al receptor que el mensaje proviene realmente de quien dice ser.
Y aquí es donde entra en juego el BIMI (Brand Indicator for Message Identification), un estándar visual que permite a las organizaciones vincular sus logotipos con los correos enviados desde sus servidores. Este logotipo se muestra directamente en la bandeja de entrada del destinatario, junto al nombre del remitente, ofreciendo una identificación visual instantánea de la empresa y fortaleciendo la confianza en la comunicación por correo electrónico.
Imagen 1.
Ejemplo de correo electrónico de un dominio remitente configurado con BIMI.
La adopción de BIMI implica varios pasos que son comunes a la mayoría de los servidores de correo. Primero, es necesario crear un logotipo en un formato específico (generalmente SVG) que sea limpio y fácilmente identificable con la organización que lo emite.
Además, es necesario que DMARC esté configurado con políticas estrictas, ya sea de rechazo o de cuarentena, lo cual requiere que también los SPF y DKIM estén activos. Y según el proveedor de correo, podría ser necesario un VMC, un certificado emitido por entidades como DigiCert, que valide el registro y la autoría del logotipo.
Conclusiones.
Estas tecnologías, aunque son complementarias, juegan un papel fundamental en el establecimiento de un entorno de comunicación más seguro. Aseguran que los correos electrónicos legítimos sean validados de manera adecuada, lo que disminuye las oportunidades para que los atacantes suplantan identidades y realicen fraudes. La protección que ofrecen trasciende la organización, ya que al facilitar la identificación de correos auténticos por parte de los usuarios, se reduce considerablemente la probabilidad de que caigan en engaños.
Sin embargo, las herramientas tecnológicas por sí solas no son suficientes. La educación en ciberseguridad sigue siendo un elemento clave para fortalecer la protección de las empresas y sus clientes. A medida que las amenazas de suplantación de identidad avanzan, es crucial que tanto los empleados como los usuarios sean capacitados para reconocer correos electrónicos fraudulentos y entender los riesgos vinculados a las comunicaciones electrónicas.
Fuente web: https://www.welivesecurity.com/es/seguridad-corporativa/prevenir-spoofing-dominio-correo-empresas/