{"id":1486,"date":"2019-03-19T11:03:49","date_gmt":"2019-03-19T16:03:49","guid":{"rendered":"http:\/\/www.itechsas.com\/blog\/?p=1486"},"modified":"2019-04-13T10:44:56","modified_gmt":"2019-04-13T15:44:56","slug":"ciberextorsion-a-traves-del-correo","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/ciberextorsion-a-traves-del-correo\/","title":{"rendered":"Contin\u00faan las campa\u00f1as de ciberextorsi\u00f3n a trav\u00e9s del correo"},"content":{"rendered":"\n

Hacia finales de noviembre del a\u00f1o pasado, en el Laboratorio de Investigaci\u00f3n de ESET se recibi\u00f3 una cantidad importante de spam relacionado a estafas que circulaban a trav\u00e9s del correo y que formaban parte de nuevas campa\u00f1as de extorsi\u00f3n; muy parecidas a otras que se analizaron<\/a> anteriormente.<\/p>\n\n\n\n

Los \u00faltimos correos que recibimos manten\u00edan algunos elementos que llamaron nuestra atenci\u00f3n, similares a los que vimos en la campa\u00f1a identificada en septiembre de 2018 en la que la v\u00edctima recib\u00eda un correo que parec\u00eda haber sido enviado desde su propia cuenta<\/a>. En esa ocasi\u00f3n, el asunto del mensaje hac\u00eda referencia a un supuesto hackeo<\/strong><\/em> <\/strong>de la cuenta del usuario y aconsejaba cambiar la contrase\u00f1a de forma inmediata; mientras que en el cuerpo, el correo notificaba que la cuenta hab\u00eda sido comprometida gracias a la explotaci\u00f3n de una vulnerabilidad en el router mediante un malware.<\/p>\n\n\n\n

\"ciberextorsion\"<\/figure>\n\n\n\n

Supuestamente y mediante estas acciones, el atacante hab\u00eda logrado obtener informaci\u00f3n sensible de la v\u00edctima, por lo que le solicitaba un pago para no hacer p\u00fablicos<\/strong> los datos que podr\u00edan \u201ccomprometer\u201d a la potencial v\u00edctima. Tal como se muestra en el siguiente ejemplo de correo:<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

El hecho de que el correo parec\u00eda provenir desde la propia cuenta del usuario hac\u00eda suponer que las declaraciones del atacante podr\u00edan ser ciertas y que hab\u00eda tenido acceso a la informaci\u00f3n.<\/p>\n\n\n\n

Sin embargo, como ya hemos indicado en publicaciones anteriores, esto se puede lograr mediante t\u00e9cnicas de suplantaci\u00f3n en el protocolo de correo debido a la ausencia de mecanismos de autenticaci\u00f3n<\/strong> y mediante la manipulaci\u00f3n de las opciones de configuraci\u00f3n en este tipo de servicios; lo que posibilita el env\u00edo de mensajes ap\u00f3crifos que a simple vista parecieran provenir de una direcci\u00f3n o un dominio leg\u00edtimo, pero que en realidad no corresponden con el emisor.<\/p>\n\n\n\n

Por lo tanto, el hecho de que el correo parezca haber sido enviado desde la propia cuenta no deber\u00eda ser un indicio para creer todo lo plantea el mensaje. Seguramente, el atacante ha enviado de manera masiva este tipo de correos en espera de que un usuario incauto caiga en la trampa y realice el pago.<\/p>\n\n\n\n

La t\u00e9cnica de suplantaci\u00f3n es utilizada en el protocolo de correo SMTP, Por lo tanto, si no se toman las medidas de precauci\u00f3n adecuadas a la hora de configurar los servicios de correo electr\u00f3nico, cualquiera puede enviar correos falsificados, que a simple vista parecieran provenir de una direcci\u00f3n o un dominio leg\u00edtimo, pero que en realidad no corresponden con el emisor.<\/p>\n\n\n\n

Para analizar esta problem\u00e1tica se revisan los registros SPF (Sender Policy Framework), ya que sirven para identificar uno o varios servidores autorizados para el env\u00edo de correos de un determinado dominio; dado que el objetivo de este registro es identificar correos electr\u00f3nicos que han sido enviados desde servidores de correo no autorizados.<\/p>\n\n\n\n

\u00bfC\u00f3mo configurar un registro SPF?<\/strong><\/h3>\n\n\n\n

Si a\u00fan desconoces si tienes un registro SPF activado, solo tienes que acceder a la zona DNS de tu dominio y comprobar si existe una entrada de tipo TXT como el siguiente:<\/p>\n\n\n\n

tudominio.com. IN TXT \u201cv=spf1 a mx -all\u201d<\/strong><\/p>\n\n\n\n

En el ejemplo superior se indica un registro de texto (IN TXT) para el dominio tudominio.com con la siguiente descripci\u00f3n SPF:<\/p>\n\n\n\n