Email spoofing: comprueba quién te envía un correo sospechoso
La suplantación de identidad es una de las técnicas más comunes entre los ciberdelincuentes para obtener datos personales de los usuarios. En este artículo analizaremos un tipo muy común, denominado email spoofing, y aprenderemos a identificarlo para evitar ser víctima de este ataque.
¿Alguna vez te ha llegado un email de tu banco pidiéndote por favor que te descargues un archivo o accedas a un enlace? Si te ha parecido sospechoso por algún motivo, tienes todos los motivos para sospechar, pues lo más probable es que se trate de un tipo de ataque de ingeniería social conocido como phishing.
Miles de correos fraudulentos se envían por correo electrónico cada día, y aunque la mayoría son detenidos por los filtros antispam, muchos terminan llegando a las bandejas de entrada de los usuarios. Existen varios elementos en los que podemos fijarnos para identificar este tipo de ataques y uno de los más recomendables es comprobar el remitente del correo. Sin embargo, este no es un factor decisorio, ya que cada vez hay más ataques de phishing, en los que el correo ha sido suplantado debido al email spoofing.
El término spoofing, que en inglés significa falsificar o engañar, es una técnica de suplantación de identidad muy común, especialmente a través del correo electrónico, aunque existen otras modalidades.
El email spoofing se lleva a cabo mediante un correo electrónico fraudulento en el que el atacante ha cambiado la dirección del remitente y el asunto para conseguir que parezca una comunicación real. Habitualmente, los ciberdelincuentes la llevan a cabo para realizar estafas y engañar a sus víctimas, con el objetivo de conseguir datos personales de los usuarios (contraseñas, números de tarjeta de crédito, cuentas bancarias, DNI, correos y otros datos personales) y obtener un beneficio económico.
También debemos tener en cuenta que existen dos perfiles a la hora de convertirnos en víctima de este ciberataque:
- Víctima directa: podemos estar recibiendo correos fraudulentos de una entidad o servicio al que han suplantado la identidad.
- Víctima indirecta: podemos haber sido suplantados y un ciberdelincuente puede estar utilizando nuestro correo electrónico para engañar a nuestros contactos u otros usuarios. Además, podemos no saber que nos están suplantando, ya que no somos nosotros quienes recibimos el correo.
¿Cómo funciona el email spoofing?
Este tipo de spoofing se caracteriza por enmascarar la dirección de correo electrónico original del atacante por el de la víctima indirecta, que puede ser un usuario o una entidad o servicio. Podríamos interpretarlo como si un tercero, el atacante, realizase una suplantación de identidad y se hiciese pasar por alguien en quien nosotros podemos confiar para obtener algún beneficio, como puede ser dinero o información personal, mediante un segundo fraude.
Esto es posible debido a que el protocolo Simple Mail Transfer o SMTP, el principal protocolo utilizado en el envío de correos electrónicos, no incluye mecanismos de autenticación. Alguien con determinados conocimientos en informática es capaz de introducir comandos en las cabeceras del correo para alterar la información que luego nos aparecerá en el mensaje.
Como consecuencia, el atacante es capaz de enviar un mensaje que parezca ser de cualquiera desde cualquier lugar.
¿Cómo podemos identificarlo?
Existen diferentes pautas y elementos clave a la hora de saber si estamos siendo víctimas de un email spoofing. Como hemos visto, hay dos perfiles diferentes a la hora de ser víctimas: la víctima directa y la indirecta; pero en cualquier caso, el objetivo del atacante sigue siendo el mismo: engañar a sus víctimas directas para obtener un beneficio económico o datos personales o financieros, bajo el pretexto de que es algo urgente, mediante un enlace fraudulento a una web falsa o adjuntos con malware.
Lo más importante cuando tratamos de identificar este tipo de correos fraudulentos es ser pacientes y detenernos unos minutos, especialmente cuando lidiamos con cientos de mensajes en nuestro día a día. Interpretando las cabeceras de los correos, podremos recabar información muy valiosa para nuestra investigación:
- Datos relativos al emisor y al receptor.
- Los servidores de correo intermedios por los que el mensaje ha pasado desde que se envió.
- El cliente del correo utilizado para enviar el email.
- Las fechas de envío y recepción.
Aunque esta información pueda permanecer oculta a simple vista, es posible visualizarla desde nuestro gestor de correos fácilmente. Veámoslo:
Microsoft Outlook
- Haremos doble clic sobre el mensaje para abrirlo en una ventana nueva.
- Luego, seleccionamos Archivo > Información > Propiedades.
- En la ventana abierta, en Encabezados de Internet, veremos toda esta información:
Gmail
- Abriremos el correo a analizar.
- Luego, haremos clic en el icono de los tres puntos y seleccionaremos Ver origen del mensaje:
Yahoo
- Una vez seleccionado el correo, haremos clic sobre el icono de los tres puntos y Ver mensaje sin formato.
- La cabecera del correo se nos mostrará a continuación:
Sin embargo, la información que podemos recabar de estas cabeceras puede ser algo confusa. Por ello, existen herramientas que nos facilitan esta interpretación, como es el caso de MessageHeader. Al pegar la cabecera en esta herramienta desglosaremos la información del siguiente modo:
A partir de esta información podemos interpretar lo siguiente:
- Tiempo de envío. En la imagen podemos ver que el mensaje tardó 20 segundos desde que se envió hasta que llegó a nuestra bandeja de entrada. Cuanto más tiempo pase, más sospechoso será. En este caso puede no ser nada, pero ya debería alertarnos.
- Remitente. En el campo From observamos que la empresa nos ha escrito a través de un dominio que no coincide con ellos.
- Registros. Los campos SPF y DKIM nos sirven para comprobar si pasan el control de verificación. En este caso ha conseguido pasar el SPF, pero ha obtenido un error en DKIM.
Si analizamos toda la información recogida, la conclusión es que probablemente se trate de un caso de email spoofing. Debemos tener en cuenta que, ante la más mínima señal de alerta, debemos desconfiar y eliminar el mensaje, además de no hacer clic en ningún enlace ni descargar ningún archivo adjunto. En nuestra web encontrarás una infografía muy detallada con los pasos a seguir para identificar cualquier tipo de correo electrónico malicioso.
Finalmente, algunos consejos extra que nos ayudarán a proteger nuestra información personal son:
- Bloquear usuarios sospechosos: si hemos llegado a recibir uno de estos correos sospechosos, es recomendable que incluyamos en nuestra lista negra al remitente del mismo.
- No compartir información personal: si dudamos de la autenticidad del correo, lo recomendable es no compartir ningún dato personal, no hacer clic en enlaces y no descargar ningún adjunto. Además, siempre podemos ponernos en contacto con la entidad o el usuario por teléfono para asegurarnos de que el email es original.
En cualquier caso, la mejor protección contra este tipo de ataques basados en la suplantación de identidad es estar alerta y utilizar el sentido común. Desde la OSI, canal especializado en ciudadanos de INCIBE, trabajamos día a día para ofrecer las mejores soluciones y buenas prácticas para proteger nuestros datos más personales, así como evitar caer en todo tipo de fraudes y estafas.
Para cualquier duda o consulta sobre ciberseguridad, recuerda que dispones de la Línea de Ayuda en Ciberseguridad de INCIBE, 017, totalmente gratuita y confidencial.
¿Conocías este tipo de ataque? ¿Crees que serás capaz de identificar estos correos maliciosos si llegasen a tu bandeja de entrada? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.
Los ciberdelincuentes, ¿quiénes son?