El atacante se hace pasar por personas u organizaciones
La suplantación de correo electrónico (spoofing en inglés) es un ataque en el que los piratas informáticos hacen parecer que un correo electrónico se origina en una dirección diferente a la que lo hace. La suplantación de identidad permite al atacante hacerse pasar por personas u organizaciones por varios motivos. Eso da miedo, entonces, ¿Cómo funciona?
Por qué ocurre la suplantación de correo electrónico
La suplantación de identidad por correo electrónico es una forma de suplantación de identidad y, por lo general, forma parte de un tipo diferente de estafa o ataque. La suplantación de identidad juega un importante papel en el phishing basado en correo electrónico o los llamados timos 419 o estafas nigerianas. Llega un correo electrónico a tu buzón que pretende ser de tu banco, un procesador de pagos en línea o, en el caso de phishing selectivo, alguien que conoces personalmente.
El correo electrónico a menudo contiene un enlace en el que se te pide que hagas clic, que te lleva a una versión falsa de un sitio real donde se recopilan tu nombre de usuario y contraseña.
En el caso del fraude del director ejecutivo, o cuando los atacantes se hacen pasar por proveedores o socios comerciales, los correos electrónicos solicitan información confidencial o solicitan transferencias bancarias a cuentas que controlan los piratas informáticos.
Imagen: Ejemplo de correo de suplantación de identidad
Cómo funciona la suplantación de identidad
La suplantación de identidad por correo electrónico es sorprendentemente fácil de hacer. Funciona modificando el "encabezado" del correo electrónico, una colección de metadatos sobre el correo electrónico. La información que ves en tu aplicación de correo se extrae del encabezado del correo electrónico.
El SMTP (Protocolo para transferencia simple de correo) no hace ninguna provisión para autenticar las direcciones de correo electrónico. Entonces, los piratas informáticos aprovechan esta debilidad para engañar a las desprevenidas víctimas haciéndoles creer que el correo proviene de otra persona.
Esta es una forma diferente de suplantación de identidad de correo electrónico, donde la dirección de correo electrónico está diseñada para parecerse a la dirección real del objetivo de la suplantación de identidad. En ese caso, el atacante crea un correo electrónico separado en el mismo dominio y usa métodos como cambiar letras o números que se parecen entre sí en la dirección falsa.
Las secciones FROM, REPLY-TO y RETURN-PATH de un encabezado de correo electrónico se pueden modificar sin herramientas especiales ni conocimientos avanzados. Esto dará como resultado un correo electrónico que, en la superficie, te muestra una dirección de origen falsificada.
Detección de suplantación de correo electrónico
La forma más fácil de detectar un correo electrónico suplantado es abrir el encabezado del correo electrónico y verificar si la dirección IP o URL del encabezado en la sección "Recibido" proviene de la fuente que esperas que sea.
El método para ver el encabezado de un correo electrónico varía de una aplicación de correo a otra, por lo que deberás buscar el método exacto para tu cliente de correo electrónico. Aquí usaremos Gmail como ejemplo, ya que es popular y fácil de usar.
Abre el correo electrónico que sospechas que está falsificado, haz clic en los tres puntos y "Mostrar original".
Junto a "Received", verás una URL de servidor y también una dirección IP. En este caso, un correo electrónico supuestamente de Lloyds proviene de un servidor que no parece ser de Lloyds.
Para confirmar esto, copia la dirección IP y pégala en la búsqueda en el WhoIs de DomainTools.
Como muestran los resultados, esta dirección IP se origina en Estados Unidos y proviene de un dominio de LIQUIDWEB.
Es muy poco probable que sea realmente de Lloyds, ¡así que este es probablemente un correo electrónico fraudulento!
Cómo combatir la suplantación de identidad
Si bien verificar el encabezado del correo electrónico de un mensaje en busca de contenido sospechoso es una forma confiable de confirmar que un correo electrónico ha sido falsificado, debes ser un poco técnico para comprender lo que estás viendo, por lo que no es la forma más efectiva de ayudar a las personas de tu empresa o de tu hogar a evitar convertirse en víctimas.
Es mucho más efectivo aplicar algunas reglas básicas cuando se trata de cualquier correo electrónico no solicitado que te pida hacer clic en un enlace, transferir dinero o solicitar información privilegiada:
• Vuelve a verificar cualquier solicitud de transferencia de dinero utilizando otro canal, como una llamada telefónica.
• No transfieras dinero a cuentas que no estén aprobadas.
• No hagas clic en enlaces dentro de correos electrónicos que no hayas solicitado.
• Escribe tu mismo en tu navegador cualquier dirección web.
Lo que es más importante, verifica siempre los mensajes de alto riesgo con el remitente mediante un canal separado, como una llamada telefónica o un chat seguro. (Sin embargo, no uses ningún número de teléfono proporcionado en el correo electrónico). ¡Una conversación de 30 segundos puede confirmar al 100% si eres víctima de suplantación de identidad o no!