Ciberseguridad: suplantación de identidad en emails.

En las últimas semanas, el Instituto Nacional de Ciberseguridad está alertando de la proliferación de ciberataques. La suplantación de identidad por correo electrónico o spoofing es uno de los ataques habituales. Son correos con remitente falso cuyo objetivo es enviar virus o conseguir nuestras claves de acceso a diferentes servicios como puede ser la banca online.

Estos ciberdelincuentes han conseguido optimizar sus ataques, de forma que, cada vez es más difícil distinguir los correos auténticos de los enviados por los ciberdelincuentes suplantado a distintos organismos y empresas.

El Instituto Nacional de Ciberseguridad nos indica las pautas necesarias para identificar los correos falsos, que suplantan alguna identidad, y los correos legítimos. Para ello, es necesario analizar la cabecera del correo electrónico recibido.

¿Qué es la cabecera de un email?

Los correos electrónicos se dividen en dos partes principales: la cabecera y el cuerpo.

En el cuerpo podemos ver el contenido del mensaje, mientras que en la cabecera o header se encuentra el historial de transmisión del mensaje. Es un registro de los detalles técnicos del e-mail, en el que podemos identificar los siguientes datos:

  • remitente
  • destinatario
  • asunto
  • fechas y hora de envío y recepción
  • servidores por los que ha pasado el mensaje desde su origen al destino

En la configuración habitual de nuestros programas de correo solo se muestra un extracto de la cabecera del email: remitente, destinatario, asunto y fecha/hora de envío.

Para identificar los correos auténticos y los falsos necesitamos visualizar y analizar la parte oculta de la cabecera.

¿Cómo acceder a la parte oculta de la cabecera de un email?

Depende del programa de correo utilizado:

Outlook 365, 2016/2013/2010: abrimos el email del que queremos conocer la cabecera, seleccionamos Archivo>Propiedades. En la parte inferior encontramos la parte oculta de la cabecera: Encabezados de Internet.

Mozilla Thunderbird: abrimos el email, pulsamos sobre Más>Ver código fuente

Outlook (Hotmail): abrimos el email, pulsamos en la línea de puntos situada a la derecha de “Reenviar” y seleccionamos: Ver origen del mensaje.

Gmail: abrimos el email, pulsamos en la línea de puntos situada a la derecha de “Responder” y seleccionamos: Mostrar original.

Yahoo: seleccionamos el correo, pulsamos en la línea de puntos y seleccionamos: Ver mensaje sin formato.

Apple Mail (Mac): abrimos el email, seleccionamos: Visualización>Mensaje>Todas las cabeceras.

¿Cómo interpretar las cabeceras?

El Instituto Nacional de Ciberseguridad recomienda el uso de la herramienta MessageHeader para analizar las cabeceras.

Ejemplo de correos legítimos:

Mail legítimo

El correo fue entregado en 1 segundo (“Delivered after 1 sec”).

En “From”: vemos que el dominio linkedin.com coincide con el emisor del mensaje que hemos recibido (no hay suplantación).

Los registros SPF, DKIM y DMARC han sido verificados correctamente.

Ejemplo correos falsos:

Mail falso

El correo fue entregado pasadas 2 horas (“Delivered after 2 hours”), es decir, tardó 2 horas en llegar desde que se envió, en el último recuadro pueden verse las direcciones de los servidores por las que pasa hasta que es entregado.

En “From”: observamos que el dominio chukzem.xyz no coincide con el supuesto emisor del mensaje.

Los registros DKIM y DMARC no han pasado el control de verificación.

Conclusión:

Si recibes un correo sospechoso, que contenga archivos adjuntos o enlaces externos a páginas de inicio de sesión, es probable que sea un correo falso, si analizas la cabecera puedes identificar si el mail es legítimo o hay suplantación de identidad.

ANCOS Gestión, S.L.

Asesoría Fiscal, Contable, Laboral, RGPD.

Consultoría, Licencia de Actividad. Normas ISO.

www.ancos.es