Estas son las técnicas de spoofing de email más usadas

Casi todos los usuarios de Internet están familiarizados con el concepto de phishing, pero hay otro tipo de ataque por correo electrónico muy frecuente que no conocemos tanto. ¿Sabes qué es el spoofing y en qué se basa para engañar a los usuarios? Aquí te lo contamos.

En los últimos años, pero especialmente desde el inicio de la pandemia, la transformación digital de la sociedad se ha ido acelerando: los modelos de negocio, atención y educación se basan cada vez más en Internet, el teletrabajo se está implantando en masa y, en consecuencia, se usan más herramientas en la nube. Pero, a la vez que las empresas evolucionan, también lo hacen los ataques de los ciberdelincuentes.

Ya en 2021 la firma de antivirus Kaspersky alertó sobre una modalidad de ataque que va en aumento. Se trata del spoofing (‘suplantación’ o ‘imitación’ en inglés), que consiste en el empleo de una serie de métodos maliciosos para falsear la identidad de una página, una entidad o una persona en la red, con el objetivo principal de hacerse con credenciales que darán a los estafadores acceso ilimitado a cuentas privadas o información privilegiada.

La suplantación de identidad por correo electrónico crece un 51% en 2023

La suplantación de correos electrónicos es uno de los tipos de spoofing más clásicos que existen. Consiste en falsificar la dirección de correo de una persona o entidad de confianza para solicitar información a la víctima.

En los últimos años se han visto ataques de este tipo dirigidos, entre otros, a personal de recursos humanos: un presunto empleado de la empresa escribe al departamento de RRHH para avisar de un cambio de cuenta bancaria. A principios del mes siguiente, el trabajador real se pone en contacto porque no le han ingresado la nómina. La empresa ha pagado a un estafador.

Además, esta técnica se utiliza para lanzar otras clases de ataques, que van del phishing a las estafas BEC (business email compromise o ‘suplantación de correo corporativo’).

En 2021, según los datos de Kaspersky, solo entre abril y mayo los casos detectados de este tipo de ciberataque pasaron de los 4.440 a los 8.204.

Entre 2022 y 2023, el incremento ha sido del 51%, alcanzando la cifra record de los 1,76 billones de correos fraudulentos, según datos del informe elaborado por Vade Secure (Hornet Security).

Las técnicas más usadas en el spoofing para falsificar emails

Para hacer que un spoofing de email o suplantación de identidad sean creíbles, los ciberdelincuentes aplican las siguientes técnicas:

1. Falsificación del «From»

El correo electrónico puede ser manipulado para mostrar una dirección de envío falsa a través del campo «De:» o «From:», enmascarando un correo falso con un nombre legítimo. El remitente fraudulento puede hacer esto fácilmente comprometiendo el protocolo SMTP, creado sin ninguna protección de seguridad, modificando los campos de encabezamiento del correo electrónico.

Esta práctica puede ser difícil de desenmascarar. Las marcas deberán implementar DMARC para detectar estos casos, como veremos más adelante.

2. Suplantación de identidad de un remitente real (phishing)

En este caso, el correo falso está firmado por un compañero, cliente o departamento «real» con el que la víctima tiene contacto más o menos habitual. La dirección, sin embargo, no es la correcta.

Casi todas las plataformas de correo electrónico muestran el nombre del remitente en lugar de la dirección de envío en la bandeja de entrada para que resulte más cómoda. El problema radica en que la mayoría de los usuarios solo suele fijarse en el nombre del remitente: si lo conoce, se fía de él.

Un conocido ejemplo es el del timo del CEO, dirigo a un empleado con capacidad para realizar transacciones. Éste recibe un correo supuestamente procedente del CEO de la empresa que, bajo algún pretexto, solicita la realización de una transacción económica urgente, saltándose los protocolos habituales para estos trámites.

A diferencia de otros tipos de emails de spam, este ataque tiene un blanco específico. Se basa en el envío de mensajes desde una dirección registrada en un dominio válido (p. ej. spamming@gmail.com o emisorcreible@outlook.com), pero bajo el nombre de un socio o proveedor conocido en la organización en cuestión.

Los filtros de spam no detectan estos emails porque no incluyen contenido sospechoso, solo frases vagas que solicitan información o una acción relacionada con una cuenta o factura.

3. Dominios engañosamente similares (typosquatting)

Cuando el dominio de una organización está protegido mediante autenticación, los ciberdelincuentes pueden tratar de engañar al destinatario registrando otros que se le parecen mucho a primera vista. Este tipo de emails falsos se conocen como ataques homógrafos y consisten en omitir o añadir una letra o palabra, o introducir algún error ortotipográfico. Imaginemos que nuestro dominio es noticias.com; podríamos encontrar variantes de este tipo:

• Faltas ortográficas: notisias.com
• Erratas: noricias.com
• Reformulación: noticia.com
• Extensión diferente: noticias.app
• Añadidura: noticias-actualidad.com
• Uso de caracteres parecidos: 1 en lugar de l (paypa1 en lugar de paypal)

Un ejemplo famoso es el de la suplantación de la empresa postal alemana Deutsche Post mediante el correo deutschepots.de (en lugar de deutschepost.de). Este sutil cambio puede pasar desapercibido fácilmente entre más de un usuario.

4. Uso de caracteres de otros alfabetos

Los atacantes también puede sustituir alguna letra del alfabeto latino por caracteres de otro alfabeto en el rango Unicode. El cirílico es una opción muy habitual, porque los clientes de email lo transforman de tal manera que muchas letras son visualmente idénticas a las latinas (la letra cirílica e, por ejemplo, es casi indistinguible).

5. Manipulación del contenido del mensaje

Los atacantes pueden crear correos electrónicos con contenido engañoso o alarmante, tales como falsas notificaciones de problemas con la cuenta o advertencias de seguridad falsas, con el objetivo de que el destinatario actúe impulsivamente.

6. Social engineering

Además de la manipulación del contenido del correo electrónico, los atacantes pueden utilizar tácticas de manipulación psicológica para inducir al destinatario a realizar acciones específicas, como clicar en enlaces maliciosos o descargar archivos adjuntos infectados.

7. Reutilización de credenciales comprometidas

En algunos casos, los atacantes pueden obtener acceso a cuentas de correo electrónico legítimas mediante técnicas de phishing o ataques de contraseña, y utilizarlos para enviar correos electrónicos de spoofing a otros destinatarios.

Evolución del email spoofing entre 2020 y 2024

La evolución del spoofing de email entre 2020 y 2024 ha estado marcada por varios factores:

1. Mejora de las defensas de seguridad: Las empresas y organizaciones han mejorado sus defensas contra el spoofing de email mediante la implementación de soluciones de seguridad más avanzadas, tales como filtros de email, autenticación de dominios (DMARC, SPF, DKIM ), y soluciones de inteligencia artificial para la detección de correos electrónicos fraudulentos.
2. Aumento de la sofisticación de los ataques: A pesar de las defensas mejoradas, los atacantes han continuado evolucionando sus técnicas para eludir las medidas de seguridad y engañar a los destinatarios. Esto incluye el uso de más sofisticadas tácticas de social engineering, como la personalización de los correos electrónicos para objetivos específicos y la utilización de información personal extraída de líneas de asunto o contenido de correos electrónicos anteriores.
3. Incremento del uso de técnicas de automatización: Los atacantes han aprovechado las tecnologías de automatización para aumentar la eficiencia de sus ataques de spoofing de email. Esto incluye el uso de bots para generar correos electrónicos masivos con contenido engañoso y la utilización de servicios de infraestructura de phishing como servicios para enviar correos electrónicos de forma masiva.
4. Mayor enfoque en los ataques dirigidos (Spear Phishing): En lugar de atacar ampliamente a grandes audiencias, los atacantes han puesto un mayor énfasis en los ataques dirigidos, conocidos como spear phishing. Estos ataques implican la personalización de los correos electrónicos para objetivos específicos, como por ejemplo empleados de empresas o individuos de alta jerarquía, con el objetivo de maximizar las posibilidades de éxito.

Cómo prevenir la suplantación de identidad por email

Las empresas pueden adoptar varias medidas de seguridad y precauciones para tratar de impedir estos ataques, incluido aprovechar sus derechos de propiedad intelectual para actuar rápidamente en casos de suplantación de identidad online, que a menudo pasan por alto.

Veamos qué recursos hay disponibles para prevenir el fraude por suplantación de correo o email spoofing:

Monitorización de dominios

La monitorización de dominios forma parte del grupo de servicios de detección proactiva de infracciones online. Este tipo de servicios detectan y previenen prematuramente estos tipos de ciberataques, incluso antes de que el dominio se propague entre las víctimas, en lugar de actuar cuando ya se ha dado lugar el ataque. El «mejor prevenir que curar» de toda la vida. No obstante, no significa que no sea útil una vez haya tenido lugar un ataque: si esto ha ocurrido y no nos hemos dado cuenta, este servicio lo detectará.

¿En qué consiste?

La monitorización de dominios escanea la marca de tu empresa (por ejemplo, «ubilibet») y detecta los dominios registrados o expirados (esto es, fueron registrados pero tras expirar no se renovaron, por lo que están disponibles para que cualquiera los active de nuevo) que la mencionan en el nombre de dominio (por ejemplo, «ubilibetonline.com» o «soporte-ubilibet.com).

Cómo debe usarse correctamente

Para que la monitorización de dominios sea una herramienta de prevención del fraude online útil, no debe caerse en la mala praxis de usarse con carácter retroactivo, es decir, «vamos a ver qué hay registrado». Sino para detectar en tiempo real cuando se acaba de registrar un dominio con tu marca. Es decir, que se acaba de registrar hoy. Solo así podemos adelantarnos al ciberataque y frenarlo antes de que puedan realizar una campaña de phishing que cause víctimas.

Además, debemos asegurarnos que nuestro proveedor nos ofrezca una herramienta que incluya el máximo de variantes posibles en la construcción del nombre de dominio: que incluya caractacteres de otros alfabetos, guiones, que detecte automáticamente typos (uso deliberado de errores, como «ubilibt» o «ubiliebt»), uso confuso de caracteres (como una «i» mayúscula en lugar de «l»). Asimismo, otras funcionalidades avanzadas, como resultados ilimitados, son relevantes para asegurarnos la mayor cobertura posible.

Monitorización de contenidos y metadatos

Ha diferencia de la monitorización de dominios, la monitorización de contenidos y metadatos nos permite identificar páginas web que han clonado nuestra página oficial o hacen un uso fraudulento de nuestra marca, a través del escaneo de los contenidos y metadatos de la home page. Esto nos permite identificar dominios que no mencionan la marca en el nombre de dominio, pero sí hacen un uso fraudulento de nuestro marca en sus contenidos.

Por lo tanto, se trata de un servicio que complementa e incrementa la cobertura del servicio de monitorización de dominios. Idealmente, deberías tenerlos ambos.

Vigilancia de dominios sospechosos

¿Qué ocurre si alguien a registrado un dominio que menciona tu marca, pero lo ha dejado aparcado o sin desarrollar («no hay nada» en él)? En estos casos, no hay nada que denunciar aún, puesto que no ha cometido ninguna infracción o uso fraudulento. Sin embargo, la mención de nuestra marca en el nombre de dominio es sospecha suficiente de que puede haberse registrado para cometer un ataque de phishing, ¿verdad?

En esos casos, se utiliza un servicio de vigilancia con el que se monitoriza la actividad de ese dominio «vacío». De este modo, cuando se detecta que se ha desarrollado una página web con contenido, se ha activado un servidor de correo o ha habido un cambio en la DNS, se recibe una alerta conforme debe revisarse de nuevo. Ahora sí vamos a poder tomar medidas si hay algún riesgo real.

Cómo detectar ataques de email spoofing en curso

Imaginemos que todo lo anterior falla o no lo tenemos implementado aún. ¿Cómo podríamos detectar cuándo se ha realizado un ataque de suplantación de identidad por correo con nuestra marca? Te damos algunas claves:

Protocolos de seguridad: SPF, DKIM y DMARC

Los protocolos de seguridad para correo tienen como objetivo garantizar la entregabilidad de los emails que envías a tus bases de datos de contactos y, a los usuarios, que eres un remitente de confianza, seguro. Por ello, es extremadamente importante contar con ellos. Especialmente ahora que los grandes clientes de correo como Gmail o Yahoo se han puesto duros con los requisitos para senders masivos.

SPF es un registro txt en tu DNS que indica qué remitentes y qué IPs tienen permiso para enviar correos en vuestro nombre. Para que un remitente pase esta autenticación, deberá estar incluido en este registro. Si no, el cliente de correo marcará que no ha pasado SPF y, probablemente, acabe en la carpeta de spam.

DKIM funciona como una firma de correo que garantiza que éste no ha sido alterado por un tercero entre el envío y la entrega.

DMARC es un protocolo que nos permite tener visibilidad sobre el tráfico en vuestro dominio y definir 3 políticas que determinan qué hacer en caso de detectar una irregularidad: no hacer nada, enviar el correo a spam o bloquearlo. DMARC es el máximo exponente de seguridad de correo para remitentes y uno de los requisitos que exigen los grandes clientes de correo a día de hoy.

¿Como nos ayuda DMARC a detectar fraude por suplantación de email?

Una de las claves de DMARC son los informes que envía con las irregularidades que detecta en el tráfico. Por ejemplo, cuando detecta que hay un pico de correos que no hay superado los protocolos de seguridad SPF y/o DKIM nos envía una alerta. Estos picos significa que se han enviado con nuestro dominio correos a grandes cantidades de buzones de correo que lo han marcado como spam y, si no nos encaja con las actividades de comunicación y marketing de nuestra empresa o nuestros niveles de entregabilidad habituales, sería un indicativo de que alguien ha usado nuestro dominio para hacer un ataque de phishing mediante email spoofing.

Si quieres saber más sobre DMARC, te recomendamos leer nuestra Guía completa de implementación de DMARC.

Correos rebotados

Aunque algo más rudimentaria, es otra técnica que podemos usar para detectar estos casos. Cuando los ciberdelincuentes usan grandes bases de datos de contacto para realizar ataques de phishing por email, a menudo encontrarán muchos buzones que ya no existen, por lo que generarán montones de correos de «mail delivery failure» de nuestro cliente de correo.

Si estamos alerta de estos emails del sistema, podremos detectar envíos que no hemos realizado nosotros.

¿Tu marca ha sido víctima de estafa por email sproofing?

Si nuestra marca se encuentra en la tesitura de haber sido usada en un ciberataque, podemos llevar a cabo distintas acciones legales que nos permiten desactivar dominios que usan nuestra marca o los contenidos que muestran.

Ponte en contacto con nuestro equipo legal, analizaremos vuestro caso y os asesoraremos en cuanto a los mecanismos para frenar cualquier actividad ilícita en marcha. Asimismo, estudiaremos qué soluciones son adecuadas para evitar futuros ataques con vuestra marca.