¿QUÉ PUEDO HACER Y SABER DE TI CON TU EMAIL?: suplantando un correo electrónico [PARTE III]

  • ¿Qué puedo hacer y saber de ti con tu email?: La técnica de los 3 años [PARTE I]
  • ¿Qué puedo hacer y saber de ti con tu email?: script Email OSINT Ripper (EO-Ripper.py) [PARTE II]
  • ¿Qué puedo hacer y saber de ti con tu email?: suplantando un correo electrónico [PARTE III]
  • ¿Qué puedo hacer y saber de ti con tu email?: análisis de tu bandeja de entrada [PARTE IV]

Ya no queda nadie que no sepa que Diana Quer aparentemente ha sufrido una suplantación de su correo electrónico. Sin entrar en profundidad y valoración de los diferentes debates que se han visto en los medios, este nuevo artículo en la saga de “¿qué puedo hacer y saber de ti con tu email?” fue motivado para poder explicar por qué sucede y qué medidas existen de seguridad.

No vamos a enseñar ninguna aplicación para suplantar por motivos lógicos, – no es requerido gran conocimiento técnico y no aportaría nada- y si has asistido alguna de mis anteriores charlas habrás visto alguna vez que he pedido al público algún email para suplantarlo y recibir un email en mi bandeja de entrada invitandome a una cerveza.

¿Al suplantar un email aparece en la bandeja de enviados?

No. Aunque una forma de suplantación sería el acceso no autorizado de la cuenta, en este caso, no haría falta ni saber las credenciales o acceder a la cuenta. Esto se debe a que suplantaremos un email haciéndonos pasar por la víctima. Esto es normalmente llamado email spoofing.

¿Qué es un email spoofing?

Como ya hemos comentado anteriormente es la creación de mensajes de correo electrónico con una dirección de remitente falso. Es fácil de hacer porque los protocolos básicos no tienen ningún mecanismo de autenticación. Es decir, un ejemplo en la vida real podría ser un aeropuerto que no pide el DNI a los pasajeros que llegan. También otra forma de verlo sería; todos podemos coger un vaso meterlo en una caja envolverlo y llevarlo a una oficina de correos para mandarlo con el nombre de otra persona. El único problema es que nos pedirán que nos identifiquemos. Sin embargo, en este ejemplo sería que, la recepcionista de la oficina de correos en ningún momento nos pide identificarnos… ¿imagináis?

¿Qué mecanismos existen de autenticación?

Si usamos Gmail podréis ver que algunos correos electrónicos que recibimos tienen un símbolo de interrogación, – como el que aparece en la imagen de abajo- esto significa que no ha sido autenticado. Si pinchamos nos enviará a una página con mucha más información sobre lo que vamos hablar ahora.

Existen 2 sistemas de autenticación:

  • El estándar SPF (Sender Policy Framework): Es una protección contra la falsificación de direcciones en el envío de correo electrónico. Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo autorizados para el transporte de los mensajes.
    ¿Cómo funciona?
    El servidor de correo que recibe el mail compara el dominio de la dirección del remitente con la lista de equipos autorizados para enviar mensajes desde dicho dominio.Para que esta validación sea efectiva el servidor que realiza el envío de los mensajes debe disponer de un registro SPF en su servidor DNS y el servidor que los recibe tiene que poder comprobarlo.Si el SPF no es válido, el sistema antispam del receptor calificará negativamente al mensaje teniendo más posibilidades de que este no llegue al inbox.¿Cómo configurarlo en CDMON?
  • DKIM (DomainKeys Identified Mail): es un mecanismo de autenticación de correo electrónico que permite a una organización responsabilizarse del envío de un mensaje, de manera que éste pueda ser validado por un destinatario. Dicha organización puede ser una fuente directa del mensaje, como el autor, el servidor encargado de gestionar el correo de ese dominio, o un servidor intermedio situado en el tránsito que recorre dicho correo, como por ejemplo un servicio independiente que provee recursos de correo al servidor que gestiona el dominio principal. DKIM utiliza criptografía de clave pública para permitir al origen firmar electrónicamente correos electrónicos legítimos de manera que puedan ser verificados por los destinatarios. Entre los proveedores de servicio de correo que implementan ese sistema se encuentran Yahoo y Gmail. Cualquier correo originado desde estas organizaciones debe llevar una firma DKIM

.

Es muy frecuente utilizar PHP para este tipo de suplantación de correos electrónicos por ello, en las cabeceras del email (si no sabes qué son las cabeceras puedes ver el siguiente enlace)  podemos buscar la aplicación origen a través de “X-PHP-Originating-Script”:

Espero que os sea útil y en breve volvemos con Shodita con nuevas funcionalidades. Para ser el primero en leernos puedes suscribirte a nuestra newsletter. Un saludo.


 

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *