Si nos llega un correo electrónico de nuestro banco solicitándonos que pinchemos en un enlace o que nos descarguemos un archivo, es probable que pensemos que se trata de un caso de phishing. Pero, ¿y si en el remitente del correo aparece la dirección oficial de nuestro banco? Entonces es posible que estemos ante un caso de email spoofing. La Oficina de Seguridad del Internauta (OSI) ha advertido sobre esta técnica, por la que los timadores se hacen pasar por una entidad o servicio de confianza para hacerse con nuestros datos y nuestro dinero. Os explicamos cómo funciona.
Los ciberdelincuentes consiguen enmascarar la dirección real desde la que se ha enviado el email
En esta ciberestafa, el correo electrónico que nos llega tiene toda la apariencia de ser oficial y de pertenecer a alguna de las empresas con la que tenemos contratado un servicio, porque imita la dirección oficial que usan estas compañías. Pero, al contrario que otros casos de phishing, en este caso los timadores consiguen ocultar la verdadera dirección de correo desde la que envían el mensaje, por lo que tiene una mayor sensación de autenticidad.
Pongamos el ejemplo de Apple: ya no es solo que utilicen, por ejemplo, la imagen corporativa de esta empresa, sino que la dirección de correo del remitente emplea la misma que utiliza Apple (@apple.com), por lo que es más difícil distinguir que estamos ante un timo, como podéis observar en el ejemplo que incluimos a continuación recogido por Kaspersky.
No obstante, Kaspersky analizó el mensaje y comprobó que el dominio real del remitente no tenía ninguna relación con la compañía tecnológica. Más adelante explicaremos cómo podemos hacerlo nosotros mismos.
El email spoofing es posible debido a que el principal protocolo utilizado en el envío de correos electrónicos, el protocolo Simple Mail Transfer o SMTP, no exige ningún tipo de verificación de identidad, según apunta la empresa de ciberseguridad ESET en su blog. “Alguien con determinados conocimientos en informática es capaz de introducir comandos en las cabeceras del correo para alterar la información que luego nos aparecerá en el mensaje”, explica la OSI.
“Si tú usas un servidor ‘x’ para hacer un envío y dices que tu dirección es ‘[email protected]’, el servidor que recibe el mensaje revisa de qué servidor ha salido y hace un repaso por la lista de servidores que están autorizados para mandar correos desde direcciones con el dominio ‘maldita.es’. Piensa que puede haber varios: utilizas ese correo desde una cuenta de Google, a través de un servicio como Mailchimp para mandar listas, etc. y si no está en ninguna de esas, mirará los protocolos que ha establecido el dueño del dominio”, explicaba sobre esta técnica a Maldita.es Sergio Carrasco, ingeniero de telecomunicaciones y especializado en ciberseguridad.
Cómo identificar un correo de 'email spoofing'
Para identificar un correo de email spoofing, la OSI recomienda que nos fijemos en una serie de elementos clave. El primer paso es visualizar la cabecera del email que nos ha llegado para ver la dirección desde la que realmente se ha enviado el mensaje. El organismo ha publicado en su página web breves guías para visualizar esta información en los principales servicios de correo electrónico.
Por ejemplo, en Gmail lo que tenemos que hacer es abrir el correo que queremos analizar y, luego, hacer clic en el icono de los tres puntos que aparece en la derecha y seleccionar ‘Mostrar original’. Por ejemplo, podemos usar como ejemplo un caso de suplantación a Amazon que recoge la OSI:
Como podemos observar en la captura, el dominio del remitente del correo es “@paragonsportindo.com”, que nada tiene que ver con el dominio oficial de Amazon.
Si nuestro correo electrónico es de Yahoo, debemos abrir el correo sospechoso, hacer clic sobre los tres puntos que nos aparecen en la barra superior y seleccionar 'Ver mensaje sin formato':
La OSI apunta que "la información que podemos recabar de estas cabeceras puede ser algo confusa", por lo que existen herramientas como MessageHeader que nos facilita la interpretación. Al pegar la cabecera del anterior correo en esta herramienta, aparece la siguiente información:
De nuevo, podemos comprobar que la dirección de correo electrónico desde la que se ha enviado el mensaje no pertenece realmente a Amazon. Por lo tanto, si seguimos los pasos y verificamos que el remitente no es la entidad o empresa que creíamos, debemos desconfiar de ese email que nos ha llegado.
