En correo electrónico cuando hablamos de domain spoofing o suplantación de dominio, nos referimos a una técnica que utilizan los atacantes para enviar correos desde un servidor malicioso utilizando un nombre de dominio legítimo y suplantar la identidad de una empresa o un usuario al utilizar un dominio “auténtico”.
Los atacantes suelen utilizar estas técnicas cuando necesitan tener una imagen más creíble de quien se hacen pasar y así generar confianza en la victima.
Para un mejor entendimiento de cómo funciona el domain spoofing es necesario conocer todos los actores involucrados en las comunicaciones.
Los servidores de correos electrónico habitualmente utilizan el protocolo SMTP (Simple Mail Transfer Protocol) para el envío de correos, los protocolos POP3 (Post Office Protocol 3) y IMAP (Internet Message Access Protocol) para la recepción de los mismos dependiendo de cuál se utilice.
El protocolo SMTP se basa en transacciones entre remitente y receptor, emitiendo secuencias de comandos y suministrando los datos necesarios ordenados mediante un protocolo de control de transmisión de conexión (TCP). Una de estas transacciones cuenta con tres secuencias de comando/respuesta: La dirección de retorno o emisor (MAIL), la dirección del destinatario (RCPT) y el contenido del mensaje (DATA).
Estos datos generalmente son completados de manera automática por el servidor de nuestro proveedor de correo, en donde todos los usuarios cuentan con autenticación previa, con lo cual el protocolo no exige ningún tipo de verificación de identidad en su uso. Si bien hay algunos proveedores de correo como Gmail u Outlook que no permiten suplantar la identidad de correos dentro de su dominio, la mayoría de las direcciones existentes pueden llegar a ser víctimas de este ataque.
Los ataques de ingeniería social se basan en engañar al usuario y una forma de incrementar las posibilidades de éxito es hacerse pasar por una compañía o institución vinculada al usuario víctima como podría ser otra institución o algún servicio de compras por internet por mencionar algunas.
Si todo esto es tan efectivo; ¿Cómo podemos evitarlo?
Existen varias alternativas que ayudan a reducir considerablemente estos casos de domain spoofing en correos. Las enumeramos a continuación.
- SPF (Sender Policy Framework): Se trata de un registro de TXT que se crea en la zona autoritativa del dominio en el cual se declara que direcciones IP son las “validas” para él envió de correos en nombre del dominio. Con esto podemos darle a los equipos de recepción de correo las herramientas para puedan saber si el correo viene del IP correcto y descartar o etiquetar como SPAM si viene de una dirección desconocida.
- DKIM (Domain Keys Indentified): En este método se añade una firma digital al mensaje en donde la otra parte de la firma (llave pública) se encuentra en un registro TXT de la zona autoritativa del dominio. Con esto el receptor puede saber que el correo pertenece al dominio correcto, y adicional puede saber que salió del servidor de correo correcto a través de la validación de firma.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): Es una técnica en donde por medio de un registro de TXT en la zona autoritativa, se pueden crear políticas para la verificación de registros SPF y DKIM. En caso de no cumplir con los parámetros establecidos en la política, el servidor receptor puede saber si aceptar o rechazar el mensaje. Con este registro también podemos crear otras acciones como la notificación a una cuenta de correo de que alguien ha intentado enviar un correo desde un servidor diferente a los parámetros declarados.
Con estos registros creados, proporcionamos una capa más de validación en el ambiente de correos y así reducir las incidencias relacionas a suplantación de dominio.