jueves, 29 de octubre de 2020

Mecanismos de protección ante las principales amenazas en el correo electrónico (I)

 A pesar de que ya han pasado décadas desde su aparición, el correo electrónico sigue siendo una herramienta de comunicación básica en el ámbito personal, pero, sobre todo, en el profesional. En todos estos años han surgido apps de mensajería instantánea, redes sociales e infinidad de soluciones corporativas, cada cual más innovadora que la anterior, y, sin embargo, el clásico email sigue siendo el soporte de comunicación formal por excelencia dentro de cualquier compañía.

Por este motivo, los ciberdelincuentes ven el correo electrónico como una ventana muy atractiva para intentar “colarse” dentro de una organización o para contactar y engañar a los empleados de la misma, asegurándose el anonimato.

Imagen: freepik.es

En esta serie de dos artículos veremos: primero, algunas de las principales amenazas a día de hoy para una empresa; y a continuación, nos detendremos a revisar con más detalle cuál es el funcionamiento técnico de los mecanismos anti-phishing: SPF, DKIM y DMARC.

Principales amenazas de seguridad

Podemos hacer una categorización de este tipo de amenazas que nos ayude a comprenderlas mejor, pero debemos ser conscientes de que no son categorías cerradas: el ciberdelincuente intentará combinar todas las técnicas que le sean posibles para que sus correos maliciosos logren su objetivo.

Hay tres líneas principales que podríamos diferenciar y que nos ayudarán a comprender mejor la problemática contra la que nos enfrentamos en un entorno corporativo:

1)    Correos con malware.

Con el término malware nos referimos a cualquier tipo de software dañino que, por supuesto, se ejecuta sin que el usuario se dé cuenta o que no se percibe hasta que ya es demasiado tarde. Este malware viajaría en el correo electrónico como un fichero adjunto y requiere que el usuario que lo recibe abra dicho fichero para ejecutarse. Dependiendo de lo avanzado que sea el engaño, un antivirus puede interceptar el correo o impedir su ejecución, aunque también es posible que se reconozca como una extensión válida (a menudo un PDF o un documento Office) y esconda un ejecutable en su interior.

Si bien este tipo de amenaza es antigua (dos de los virus más famosos, como el Melissa o el ILoveYou, han cumplido ya veinte años), el envío de malware por email sigue estando a la orden del día. Inicialmente el objetivo mayoritario era dañar los sistemas infectados y propagarse, pero ahora los grandes ataques parecen más encaminados en obtener un rédito económico directo o indirecto.

Pueden distinguirse múltiples categorías de malware dependiendo de su propósito, algunas de las más populares actualmente son:

  • Spyware. Este malware se instala en el PC y recoge información de todo lo que se hace en él, para luego remitir dicha información al delincuente.
    Un ejemplo de spyware serían los Keylogger, que registran absolutamente todo lo que se teclea en el dispositivo. De esta forma, queda un registro de posibles datos confidenciales, números de tarjeta de pago con su código de seguridad y, por supuesto, contraseñas. Con cierta periodicidad, la información registrada se envía finalmente al delincuente para que haga uso de ella.

  • Ransomware. Ha ido tomando relevancia en los últimos años con casos tan  sonados como el del WannaCry. Al abrir el archivo malicioso, el software se ejecuta y cifra todo el disco duro del equipo con una clave que sólo tiene el delincuente, imposibilitando completamente el uso del dispositivo y el acceso a la información que había en él. Para recuperarlo, los delincuentes exigen un pago. Además, tienen la capacidad de expandirse por la red corporativa y podría afectar al resto de equipos.


2)    Correos Phishing.

La palabra “phishing” viene de “fishing”, una analogía evidente de la pesca, donde los ciberdelincuentes lanzan sus redes o anzuelos masivamente y se limitan a esperar a que algún incauto pique.

Imagen: freepik.es

Estos engaños son tan antiguos como el propio correo electrónico, estafas como la de ese “príncipe nigeriano” que está deseando compartir su enorme fortuna con el receptor del correo ya forman parte de la cultura popular (¡y aun así, siguen funcionando!).

En lo que respecta al campo profesional, el objetivo suele ser conseguir información sensible o confidencial de la persona que recibe el correo, principalmente la contraseña acceso a algún sistema. Un ejemplo de phishing actual podría ser una campaña de correos en nombre de Office 365 solicitando pinchar un enlace y reintroducir allí nuestras credenciales, alegando cualquier excusa (nuestra cuenta ha sido bloqueada, la cuenta está a punto de expirar, etc).

El phishing a su vez se puede categorizar, dependiendo de su enfoque:

  • Spear phishing. Esta “pesca con lanza” se da cuando la campaña va muy dirigida hacia un objetivo determinado y tiene un alto nivel de personalización. Por ejemplo, el remitente parece conocer datos concretos del destinatario, como el nombre completo y el puesto en la compañía.

  • Whaling o fraude del CEO. Cuando la campaña de phishing hace uso del nombre del CEO, o de cualquier miembro de la Dirección, para ser más creíble, como por ejemplo pidiendo que se haga una transferencia económica con carácter urgente y fuera de los procedimientos establecidos.


3)    Correos Spoofing.

Con el término spoofing nos referimos a la suplantación de identidad, donde un ciberdelincuente ha realizado un trabajo de investigación previo, nada despreciable, para hacerse pasar por una persona que tiene relación con el destinatario del correo. Por ejemplo, podría ser que recibiéramos un email que parece ser de nuestro jefe o de figuras públicas como altos cargos de la empresa, donde se ven su nombre y su dirección de correo electrónico, pero en realidad es otra persona que se está haciendo pasar por él.

Actualmente, y sobre todo en un entorno corporativo, los correos maliciosos hacen uso de la suplantación de identidad para ser más creíbles y lograr sus objetivos. Mencionábamos en el apartado anterior el whaling o fraude del CEO, que típicamente se incluye como ejemplo de phishing, y evidencia que no se pueden establecer categorías cerradas: sería más acertado considerarlo spoofing, pues la clave de este engaño reside precisamente en la suplantación de la identidad del CEO de la empresa.

Veamos un ejemplo real de un caso de “fraude del CEO”:

El departamento de Administración de una empresa recibió este email de su CEO, ¿quién no ejecutaría inmediatamente una petición del jefe? El lenguaje empleado era correcto y figuraban su nombre y su dirección de correo perfectamente visibles y bien escritas. De hecho, al ser correcta su dirección, el Outlook corporativo incluso cargaba su foto de perfil.
 
A simple vista, se trata de un correo legítimo y no hay razones para sospechar del mismo:

 


¿Y qué sucede al pulsar “Responder” a este correo?


Al momento de responder, en el campo Para, junto al nombre del CEO vemos una dirección de correo que ya no es la dirección corporativa que veíamos antes, ahora ha aflorado una dirección (@protonmail.com) que estaba “escondida” en uno de los campos de la cabecera del correo (Return-Path). Este es un buzón de correo que el ciberdelincuente maneja.

Si el empleado no se da cuenta de este pequeño detalle, podría caer en el engaño y responder pidiendo instrucciones o más detalles y, finalmente, ceder a la petición o revelar información confidencial.

Hay que incidir en que este tipo de ataques de phishing con suplantación de identidad son especialmente delicados para las organizaciones por dos motivos relacionados:

  • Limitaciones de los sistemas de protección. Los sistemas actuales de mitigación existentes tienen dificultades para discernir cuándo la suplantación de identidad es ilegítima. Por ejemplo, un departamento de Recursos Humanos podría usar una herramienta externa para gestionar el envío de la newsletter corporativa y se estaría haciendo uso de una suplantación de dominio completamente legítima. A veces, por bloqueos indebidos o por miedo a que estos se produzcan, las empresas optan por relajar este tipo de controles.
  • Dependencia fundamental del componente humano. Un simple error puntual de un único empleado podría provocar una brecha de seguridad en la compañía.

Principales mecanismos de protección

Al igual que sucede en otros ámbitos de la ciberseguridad, las amenazas a través del correo electrónico plantean una carrera incesante entre delincuentes e investigadores, donde cada parte intenta continuamente superar a la otra. Los escenarios son cambiantes y las soluciones del mercado intentan adaptarse a ellos.

Cómo evitar el malware a través del correo electrónico:

No nos detendremos mucho en este punto, puesto que independientemente de la naturaleza del malware o el objetivo de este, los mecanismos de protección son comunes y bastante conocidos:

  • Antivirus en el servidor de correo electrónico. Realiza un análisis antes de depositar el correo en la bandeja de entrada del usuario, siendo capaz de bloquear el adjunto malicioso o eliminarlo.
  • Antivirus en el equipo. Si el usuario intenta ejecutar el malware y el antivirus percibe que se quiere lanzar alguna acción sospechosa, como la modificación de ficheros críticos del sistema, intentará detenerlo y/o alertar al usuario.
  • Minimizar las vulnerabilidades del equipo. Si un equipo está debidamente actualizado, con todos los parches de seguridad correspondientes para su sistema operativo y para cualquier otro software instalado, la acción del malware podría verse frustrada.
  • Formación y concienciación. No existe mejor protección que un empleado concienciado con la ciberseguridad, capaz de discernir cuándo está ante un peligro. Si se forma a los empleados en seguridad, serán capaz de comprender las amenazas, reconocerlas y evitarlas.
Cómo evitar el phishing y spoofing:

Uno de los grandes peligros del phishing y el spoofing es su enorme simpleza. ¿Por qué un ciberdelincuente querría complicarse la vida buscando o programando un malware complejo, capaz de esquivar un sistema antivirus y explotar una vulnerabilidad concreta… cuando puede pedir directamente la información confidencial a su víctima?

Estos engaños y suplantaciones de identidad pueden ser muy difíciles de identificar, de hecho, normalmente se delatan con algo tan simple de corregir como es el lenguaje. Un texto con erratas o con expresiones poco naturales es el que suele levantar las alarmas, pero, ¿qué pasaría si el mensaje estuviera correctamente escrito? Sin ninguna duda, las posibilidades de engañar a la víctima se multiplicarían exponencialmente.


Algunos correos de spoofing muestran en la dirección del remitente la dirección real de la persona que están suplantando, es decir, a simple vista podríamos tener muchas sospechas sobre la legitimidad de un correo, pero ninguna evidencia concluyente.

Para ayudar a discernir si un correo ha sido manipulado o hace una suplantación de identidad o dominio, existen principalmente tres mecanismos y controles automatizados, aunque también tienen sus limitaciones:

  • SPF, el convenio de remitentes. Permitirá a una organización definir desde qué servidores o IPs se puede mandar correo en su nombre.
  • DKIM, que hace uso de una firma para garantizar la autenticidad del correo.
  • DMARC, la combinación de SPF y DKIM, que permitirá realizar valoraciones cruzadas y, en base a sus resultados, determinar qué se hace con un correo (eliminarlo, dejarlo en cuarentena o entregarlo con normalidad).

En el siguiente artículo de la serie explicamos con detalle cómo funciona y cómo se activa cada uno de estos sistemas.

Referencias


Autor: Daniel Fuertes - CISSP, PCIP, ISO 27001 L.A.
Dpto. Consultoría