Correo electrónico como distribución de malware
A día de hoy, en los tiempos donde el dominio de aplicaciones como Whatsapp o Telegram son las principales vías de comunicación, el correo electrónico sigue siendo altamente utilizado para el envío de información.
Esta utilización es mayor si la información compartida tiene un contenido mas “oficial” o si nos movemos al mundo empresarial, donde en este ultimo caso, es la principal vía de intercambio de información.
Debido a esto, los cibercriminales se aprovechan de este medio para el engaño o la distribución de malware. En esta entrada veremos de forma general los mecanismos de validación y la protección del correo que existe como es con SPF, DKIM y DMARC.
Necesidad de protección
Cada vez hay más y más casos de correos electrónicos maliciosos que tienen como finalidad engañar al receptor para obtener sus credenciales o distribuir malware. Además, de un tiempo a esta parte, estos correos electrónicos son cada vez mas elaborados y difíciles de detectar. Casos de phishing de supuestas entidades financieras, entidades públicas o grandes corporaciones, solicitando las credenciales son muy comunes.
Aquí tenéis un vídeo de Sysbeards donde se realiza un intento de Phishing:
Ante estos problemas nace la necesidad de proteger las cuentas de los receptores mediante la validación de estos correos. Estos mecanismos ya están implementados en cuentas como Gmail u Outlook, pero es necesario aplicarlo a cualquier dominio.
Validación del origen, SPF
SPF es considerado el primer mecanismos de protección de correo electrónico. Tiene como finalidad validar que el correo electrónico de un cierto dominio solo pueda ser emitido desde unos orígenes bien definidos. ¿Cómo se hace esto?
Su funcionamiento es muy sencillo. Se apoya en los registros DNS del dominio para establecer los orígenes correspondientes. Para ello, se crea un registro de tipo TXT público donde se establecen que orígenes (IP o dominio) pueden enviar correos electrónicos en su nombre:
De esta forma se valida que los correos electrónicos que se envían con un dominio concreto solo pueden ser enviados desde los orígenes que están definidos en el registro DNS. Cualquier otro origen debería ser denegado.
Firma de correos, DKIM
Otro mecanismo de validación para la protección del correo algo más avanzado que el anterior es DKIM. Su objetivo es la validación de autenticación e integridad del correo. Esto es, que el mensaje ha sido emitido por un emisor concreto y no ha sido alterado en transito hasta su llegada al receptor.
Para conseguir esto, DKIM se apoya en mecanismos criptográfico de hashing y clave público/privada. Ya hablamos de los mecanismos de criptografía aquí.
Lo veremos mas rápidamente con sus pasos:
- El emisor construye un mensaje y lo envía.
- Antes de salir hacia su destino, se genera un hash del contenido del mensaje.
- El hash es encriptado con la clave privada del emisor y se adjunta en la cabecera del mensaje.
- El receptor recibe el mensaje y desencripta el texto DKIM mediante la clave pública del emisor.
- Comprueba el hash del mensaje y lo compara con el desencriptado.
- Si todo es correcto, el mensaje está validado.
En líneas generales este sería todo el proceso de validación. Destacar que la clave pública de DKIM se establece en los registros DNS del dominio. Al ser pública puede ser consultada por todo el mundo que lo requiera.
Política de correo, DMARC
El último mecanismo del que hablaré en esta entrada es DMARC. Podríamos decir que esta configuración es una fusión de los dos mecanismos anteriores junto con un conjunto de políticas. Es decir, DMARC construye una serie de políticas basadas en la validación SPF y DKIM, y en base al resultado de estos, dictamina la acción que tomará el correo.
Por ejemplo, es posible configurar DMARC para que ante un fallo en la validación SPF o DKIM el correo sea rechazado, puesto en cuarentena o permitido. En adición, el resultado de esta acción puede ser enviado a una cuenta de correo como informe de lo sucedido.
Al igual que con los otros mecanismos, DMARC se establece en el registro DNS del dominio. Esto se basa en una entrada TXT donde definir la política y acción que se debe hacer con correo. Existen varias entradas y configuración a establecer, y en la siguiente imagen se puede ver un ejemplo:
¿Suficiente para el phishing?
Aunque los tres mecanismos anteriores pueden parecer bastante fuertes el spam o peor, el phishing, sigue ocurriendo muy comúnmente. Esto puede ser debido a la baja adopción de estos mecanismos (sobre todo DKIM y DMARC), a políticas laxas y a perfeccionamiento de los ataques.
Como empezábamos comentando este post, los cibercriminales son cada vez mas astutos y mas perfeccionistas, y están acostumbrados a saltarse este tipo de protecciones. Por ello, en la industria se implementan en adición tipos de defensa mas inteligentes y eficaces para la protección del correo.
Y ante todo, concienciarnos todos de los peligros que pueden suceder, asegurarnos de lo que hacemos y mirar dos veces antes de entrar en cualquier sitio. Los ataques cada vez son mas sofisticados y peligrosos, y parte de nuestra vida esta en Internet.