- Josh Hendrickson
@canterrain
- 11 de julio de 2019, 8:00am EDT
¿Alguna vez has abierto un correo electrónico sólo para encontrar que es spam o chantaje que parecía venir de tu propia dirección de correo electrónico? No es el único. La falsificación de direcciones de correo electrónico se denomina spoofing y, por desgracia, hay poco que se pueda hacer al respecto.
Cómo los spammers falsifican su dirección de correo electrónico
El spoofing es el acto de falsificar una dirección de correo electrónico, de modo que parezca provenir de alguien distinto a la persona que lo envió. A menudo, el spoofing se utiliza para hacerle creer que un correo electrónico proviene de alguien que usted conoce, o de una empresa con la que trabaja, como un banco u otro servicio financiero.
Desgraciadamente, el spoofing del correo electrónico es increíblemente fácil. Los sistemas de correo electrónico a menudo no disponen de una comprobación de seguridad para garantizar que la dirección de correo electrónico que escribes en el campo «De» te pertenece realmente. Es muy parecido a un sobre que pones en el correo. Puedes escribir lo que quieras en el lugar del remitente si no te importa que la oficina de correos no pueda devolverte la carta. La oficina de correos tampoco tiene forma de saber si realmente vives en la dirección del remitente que escribiste en el sobre.
La falsificación de correos funciona de forma similar. Algunos servicios en línea, como Outlook.com, prestan atención a la dirección del remitente cuando envías un correo electrónico y pueden impedir que envíes uno con una dirección falsificada. Sin embargo, algunas herramientas te permiten rellenar lo que quieras. Es tan fácil como crear tu propio servidor de correo electrónico (SMTP). Todo lo que un estafador necesita es su dirección, que probablemente puede comprar de una de las muchas violaciones de datos.
¿Por qué los estafadores falsifican su dirección?
Los estafadores le envían correos electrónicos que parecen provenir de su dirección por una de dos razones, generalmente. La primera es con la esperanza de evitar su protección contra el spam. Si te envías un correo electrónico, es probable que estés tratando de recordar algo importante y no quieras que ese mensaje sea etiquetado como Spam. Por eso, los estafadores esperan que al utilizar tu dirección, tus filtros de spam no se den cuenta y su mensaje pase. Existen herramientas para identificar un correo electrónico enviado desde un dominio distinto al que dice provenir, pero su proveedor de correo electrónico debe implementarlas y, lamentablemente, muchos no lo hacen.
La segunda razón por la que los estafadores falsifican su dirección de correo electrónico es para obtener una sensación de legitimidad. No es raro que un correo electrónico falsificado afirme que su cuenta está comprometida. El hecho de que «te hayas enviado a ti mismo este correo» sirve como prueba del acceso del «hacker». También pueden incluir una contraseña o un número de teléfono extraído de una base de datos violada como prueba adicional.
El estafador suele afirmar que tiene información comprometedora sobre usted o fotos tomadas de su cámara web. A continuación, amenaza con revelar los datos a tus contactos más cercanos a menos que pagues un rescate. Al principio suena creíble; después de todo, parece que tienen acceso a tu cuenta de correo electrónico. Pero esa es la cuestión: el estafador está falsificando pruebas.
Qué hacen los servicios de correo electrónico para combatir el problema
El hecho de que cualquiera pueda falsificar una dirección de correo electrónico de retorno con tanta facilidad no es un problema nuevo. Y los proveedores de correo electrónico no quieren molestarle con spam, por lo que se desarrollaron herramientas para combatir el problema.
El primero fue el Marco de Políticas de Remitentes (SPF), y funciona con algunos principios básicos. Cada dominio de correo electrónico viene con un conjunto de registros del Sistema de Nombres de Dominio (DNS), que se utilizan para dirigir el tráfico al servidor de alojamiento u ordenador correcto. Un registro SPF funciona con el registro DNS. Cuando envías un correo electrónico, el servicio receptor compara tu dirección de dominio proporcionada (@gmail.com) con tu IP de origen y el registro SPF para asegurarse de que coinciden. Si envías un correo electrónico desde una dirección de Gmail, ese correo también debería mostrar que se originó desde un dispositivo controlado por Gmail.
Desgraciadamente, el SPF por sí solo no resuelve el problema. Alguien tiene que mantener los registros SPF correctamente en cada dominio, lo que no siempre ocurre. También es fácil para los estafadores trabajar alrededor de este problema. Cuando recibes un correo electrónico, es posible que sólo veas un nombre en lugar de una dirección de correo electrónico. Los spammers rellenan una dirección de correo electrónico para el nombre real y otra para la dirección de envío que coincide con un registro SPF. Así, usted no lo verá como spam y tampoco el SPF.
Las empresas también deben decidir qué hacer con los resultados del SPF. La mayoría de las veces, se conforman con dejar pasar los correos electrónicos en lugar de arriesgarse a que el sistema no entregue un mensaje crítico. SPF no tiene un conjunto de reglas sobre qué hacer con la información; sólo proporciona los resultados de una comprobación.
Para solucionar estos problemas, Microsoft, Google y otros introdujeron el sistema de validación DMARC (Domain-based Message Authentication, Reporting, and Conformance). Funciona con el SPF para crear reglas sobre qué hacer con los correos electrónicos marcados como posible spam. DMARC comprueba primero el análisis SPF. Si falla, impide que el mensaje pase, a menos que un administrador lo configure de otra manera. Incluso si un SPF pasa, DMARC comprueba que la dirección de correo electrónico que aparece en el campo «De:» coincide con el dominio del que proviene el correo electrónico (esto se llama alineación).
Desgraciadamente, incluso con el respaldo de Microsoft, Facebook y Google, DMARC todavía no se utiliza ampliamente. Si tienes una dirección de Outlook.com o Gmail.com, es probable que te beneficies de DMARC. Sin embargo, a finales de 2017, solo 39 de las 500 empresas de Fortune habían implementado el servicio de validación.
Lo que puedes hacer con el spam autodirigido
Desgraciadamente, no hay forma de evitar que los spammers suplanten tu dirección. Con suerte, el sistema de correo electrónico que utilizas implementa tanto SPF como DMARC, y no verás estos correos electrónicos dirigidos. Deberían ir directamente al correo no deseado. Si tu cuenta de correo electrónico te permite controlar las opciones de spam, puedes hacerlas más estrictas. Pero ten en cuenta que también puedes perder algunos mensajes legítimos, así que asegúrate de revisar tu bandeja de spam con frecuencia.
Si recibes un mensaje falsificado de ti mismo, ignóralo. No haga clic en ningún archivo adjunto o enlace y no pague ningún rescate exigido. Simplemente márcalo como spam o phishing, o bórralo. Si temes que tus cuentas hayan sido comprometidas, bloquéalas por seguridad. Si reutilizas las contraseñas, restablécelas en cada servicio que comparta la actual y dale a cada una una nueva y única. Si no confías en tu memoria con tantas contraseñas, te recomendamos que utilices un gestor de contraseñas.
Si te preocupa recibir correos electrónicos falsos de tus contactos, también puede merecer la pena que aprendas a leer las cabeceras de los correos electrónicos.
