La compañía de ciberseguridad Kaspersky ha emitido un comunicado para advertir sobre el spoofing, una amenaza de la que es posible que nunca hayas oído hablar y que debes conocer porque últimamente está en auge y puede ser muy peligrosa.
Tal y como explica, el spoofing es una técnica basada en la suplantación de correos electrónicos de remitentes legítimos en la que se falsifica el nombre y la dirección del remitente para engañar a los usuarios. Su objetivo es convencerles de que realicen una acción que beneficie al atacante y que puede tratarse de la descarga de malware, el acceso a sistemas o datos, el envío de datos personales o incluso la transferencia de dinero.
El hecho de que estos correos electrónicos "falsos" suelan aparentar que proceden de organizaciones de buena reputación no solo pone en peligro a sus remitentes, sino también el buen nombre de las empresas cuyo dominio ha sido utilizado como gancho. Es más, Kasperky señala que estos e-mails falsos pueden formar parte de ataques más amplios y compuestos por varias fases, como los que se realizan para difamar a las empresas. Además, apunta que últimamente están siguiendo una curva ascendente que de momento no se detiene y va en aumento.
Según sus datos, de abril a mayo de 2021, el número total de detecciones de este tipo ataques de suplantación de identidad en el correo electrónico casi se duplicó, pasando de 4.440 a 8.204.
Las tácticas de ataque del "spoofing"
Kaspersky también indica que el spoofing es una técnica que resulta bastante sencilla de utilizar por los atacantes porque el principal protocolo de transmisión de correo electrónico, SMTP, no ofrece protección frente a esta amenaza. Asimismo, advierte que estos ataques se pueden realizar de múltiples maneras.
La más fácil es lo que se llama "spoofing de dominio legítimo", en el cual se inserta el dominio de la organización que se está suplantando en el encabezado "De" haciendo que sea realmente difícil distinguir un correo electrónico falso de uno real. Sin embargo, los atacantes deben recurrir a otro método si la empresa objetivo ha implementado uno de los nuevos métodos de autenticación de correo. Una alternativa puede ser el conocido como "suplantación de nombre para mostrar", en el que los atacantes suplantan a la persona que envía el correo electrónico, es decir, hacen que parezca que ha sido enviado por un empleado real de la empresa.
"Los ataques de suplantación de identidad más sofisticados implican dominios de apariencia muy similar (lookalike), ya que utilizan dominios registrados específicos que se parecen a los de las organizaciones legítimas en los que a menudo solo cambia una letra. Pero también hay casos en los que la simple atención ya no es suficiente, como ocurre con el Unicode Spoofing. Se trata de un tipo de suplantación en el que uno de los caracteres ASCII de un nombre de dominio se sustituye por un carácter de escritura similar del rango Unicode", continúa la firma de ciberseguridad.
Ejemplo de mensaje de suplantación de Unicode
Unicode es un estándar utilizado para codificar los dominios, pero, cuando los nombres de dominio utilizan elementos no latinos, estos elementos se convierten de Unicode a otro sistema de codificación. En su comunicado, Kaspersky incluye un ejemplo de un mensaje de suplantación de Unicode que supuestamente se ha enviado desde el dominio apple.com. Según comenta, la escritura coincide completamente con la de la marca y el mensaje pasó la autentificación. Por otro lado, considera que el diseño del e-mail puede llamar la atención, dado que el usuario medio rara vez recibe mensajes de bloqueo, por lo que no tiene mucho con qué compararlo. "Si un usuario desprevenido hace clic en el enlace, se le conduce a un sitio falso en el que se le insta a introducir los datos de su cuenta".
La compañía también subraya que si se revisan los encabezados de este correo electrónico, se obtiene una imagen muy diferente que revela el engaño, como muestra la siguiente captura.
"En este caso, el dominio de 'apple.com' acaba de caer bajo la regla de codificación de caracteres Unicode en ASCII: los tres primeros caracteres son 'a' y 'p' cirílicos. Pero el programa de correo electrónico que abrió el mensaje convirtió, para comodidad del usuario, la combinación Punycode a Unicode y el correo electrónico se mostró como 'apple.com'", apostilla la firma de ciberseguridad.
Cómo evitar ser víctima del 'spoofing'
Para reducir el riesgo de que su empresa sea víctima del spoofing, los expertos de Kaspersky ofrecen las tres siguientes recomendaciones:
- Adoptar un método de autenticación de correo electrónico, como SPF, DKIM o DMARC, para el correo electrónico corporativo.
- Llevar a cabo un curso de concienciación sobre seguridad que cubra el tema de la seguridad del correo electrónico. Ayuda a educar a sus empleados para que comprueben siempre la dirección del remitente cuando reciban correos electrónicos de personas desconocidas y aprendan otras reglas básicas.
- Al utilizar el servicio en la nube de Microsoft 365, no olvidarse de protegerlo.
En palabras de Roman Dedenok, experto en seguridad de Kaspersky: "El spoofing puede parecer primitivo en comparación con otras técnicas utilizadas por los ciberdelincuentes, pero puede llegar a ser muy eficaz. También puede ser sólo la primera etapa de un ataque más complejo de compromiso del correo electrónico empresarial (BEC), de ataques que pueden conducir al robo de identidad y a detener la actividad de la empresa, así como a importantes pérdidas monetarias. La buena noticia es que existe una gama de soluciones de protección contra la suplantación de identidad y nuevos estándares de autenticación que pueden mantener la seguridad de su correo electrónico empresarial".