En el contexto dinámico de la ciberseguridad, donde las amenazas existentes evolucionan y surgen nuevas técnicas de ataque a diario, el contrabando de SMTP nos recuerda con crudeza la importancia de mantenerse actualizados en materia de amenazas de ciberseguridad y métodos de defensa contra los ciberataques. Pero ¿en qué consiste el contrabando de SMTP y cómo funciona?
¿Qué es SMTP?
El Protocolo simple de transferencia de correo (SMTP) es un protocolo de red TCP/IP que facilita la transmisión de correos electrónicos entre computadoras y servidores diferentes. Se trata de un protocolo de uso común. Tan es así que entre los principales clientes de correo electrónico con SMTP encontramos a Gmail, Outlook, Yahoo y Apple.
¿Qué cambia al enviar un correo electrónico con SMTP? Los correos electrónicos que se redactan en un cliente como Microsoft Outlook, se envían a un servidor SMTP, que analiza el dominio del destinatario para elegir el mejor servidor de correo electrónico para la entrega. En un caso típico, el servidor SMTP en el dominio del destinatario procesa el correo electrónico y decide si debe entregar el mensaje o usar SMTP para reenviarlo a otra red antes.
No olvidemos que la autenticación en SMTP siempre ha sido limitada. Como resultado, los correos de suplantación de identidad se convirtieron en un gran problema. Los atacantes solo deben elegir la herramienta adecuada (otro cliente, script o utilidad de correo electrónico) que les permita elegir un nombre de remitente. Luego, cometen ataques selectivos en los que suplantan la identidad de un remitente de confianza e intentan convencer al destinatario para que realice una determinada acción, como hacer clic en enlaces de phishing o descargar archivos infectados con malware.
Se diseñaron diversas medidas de seguridad para fortalecer esta vulnerabilidad inherente (CVE-2023-51766). Entre ellas, se encuentran las siguientes:
- Convenio de remitentes (SPF): se utilizan registros DNS para indicarles a los servidores receptores de correo electrónico las direcciones IP con autorización para enviar correos electrónicos desde un dominio específico.
- Correo identificado de claves de dominio (DKIM): se utiliza una clave privada almacenada en el servidor del remitente para firmar digitalmente los correos electrónicos salientes, de modo que los servidores del destinatario puedan validar a los remitentes con la clave pública del servidor emisor.
- Autenticación, informes y conformidad de mensajes según dominios (DMARC): se verifica el dominio del emisor de correo electrónico en el encabezado "De" con SPF o DKIM. Si no se obtienen coincidencias, la comprobación de DMARC finaliza con errores. Sin embargo, este protocolo no se usa con regularidad.
¿Qué es un servidor SMTP?
Un servidor SMTP en redes informáticas es un servidor de correo electrónico que puede enviar y recibir correos electrónicos utilizando el protocolo SMTP. Por lo general, estos servidores usan TCP en el puerto 25 o 587. Los números indican al servidor los procesos específicos que se deben llevar a cabo en los mensajes. Los clientes de correo electrónico se conectan directamente al servidor SMTP del proveedor de correo electrónico para enviar un correo. Se ejecutan diversos programas de software en un servidor SMTP:
- Agente de envío de correo (MSA): recibe mensajes del cliente de correo electrónico
- Agente de transferencia de correo (MTA): transfiere correos electrónicos al siguiente servidor según corresponda. En este punto, el servidor puede iniciar una consulta DNS para el registro DNS de intercambio de correo (MX) del dominio del destinatario.
- Agente de entrega de correo (MDA): recibe correos electrónicos que se almacenarán en la bandeja de entrada del destinatario
¿Qué es el contrabando de SMTP?
El contrabando de SMTP es un tipo de ciberataque caracterizado por la suplantación de direcciones de correo electrónico con el objetivo de que parezca que sus mensajes provienen de fuentes legítimas. El principal propósito de este tipo de ciberataques es ejecutar una técnica de phishing e incentivar al objetivo a realizar una acción, que podría ser hacer clic en un vínculo malicioso, abrir archivos adjuntos infectados o, incluso, enviar información confidencial o dinero.
Los atacantes aprovechan las diferencias que existen en la manera en la que los servidores de correo electrónico de entrada y salida procesan las secuencias de código de fin de los datos. Su objetivo es engañar al servidor del destinatario con comandos SMTP de "contrabando" para que interprete erróneamente el fin del mensaje y el correo electrónico aparezca como dos mensajes independientes.
¿Cómo funciona el contrabando de SMTP?
Los cibercriminales insertan comandos SMTP ambiguos para comprometer la integridad de las comunicaciones en los servidores de correo electrónico, tal como sucede durante un ataque de contrabando de solicitudes HTTP. En concreto, los servidores SMTP suelen indicar los datos de fin de mensaje con el código <CR><LF>.<CR><LF> o \r\n.\r\n. Estos delimitadores de texto estándar hacen referencia a un "retorno de carro" y un "salto de línea", respectivamente.
Cuando los atacantes cambian la secuencia de este código, el servidor considera que el mensaje finaliza en un lugar diferente al real. Si el servidor de entrada comprende que el mensaje incluye más líneas que las que observa el servidor de salida, se genera un espacio libre donde se puede insertar datos adicionales de contrabando.
Comúnmente, cuando se produce una suplantación de correo electrónico de este tipo, se planea realizar ataques selectivos de phishing. Las empresas son especialmente vulnerables frente al contrabando de SMTP dado que es más sencillo suplantar sus dominios y emplear ingeniería social para generar correos electrónicos de phishing o ataques de spear phishing.
Cómo evitar correos electrónicos con contrabando de SMTP
A pesar de que los fabricantes de los servidores de correo electrónico más populares y reconocidos, Postfix, Exim y Sendmail, publicaron correcciones y soluciones alternativas para combatir el contrabando, si deseas minimizar las amenazas, existen otras medidas que puedes tomar:
- Ejecuta comprobaciones de seguridad con regularidad en la infraestructura de la organización para supervisar la existencia de posibles vulnerabilidades o vectores de ataque.
- Revisa tu software de enrutamiento de correos electrónicos. Si se tiene conocimiento de su vulnerabilidad, actualízalo a la versión más reciente o elige una configuración que rechace específicamente la canalización no autorizada.
- Los usuarios de productos de correo electrónico de Cisco reciben la recomendación de actualizar manualmente la configuración predeterminada de "Manejo de CR y LF" a "Permitir" en lugar de "Borrar", de modo que el servidor únicamente interprete y entregue correos electrónicos con el código de secuencia de fin de los datos <CR><LF>.<CR><LF>.
- Deshabilita <LF> sin <CR> en el código.
- Desconecta los clientes SMTP remotos que envían líneas nuevas vacías.
- Implementa con regularidad capacitaciones de concienciación sobre seguridad para los empleados, que podrían incluir, por ejemplo, verificar la dirección de correo electrónico del emisor antes de realizar cualquier acción solicitada.
¿Cómo luce la suplantación de identidad en correos electrónicos con SMTP?
Si deseas reconocer una amenaza de contrabando de SMTP, será útil saber cómo podría lucir un correo electrónico de suplantación de identidad. Un correo electrónico de este tipo adopta diversas formas:
- Suplantación de un dominio legítimo: básicamente, implica suplantar el dominio de una empresa insertando el dominio en el encabezado "De" de los correos electrónicos. Los métodos de autenticación SPF, DKM y DMARC pretenden capturar este tipo de estafas. Las empresas deben configurar la autenticación de su correo electrónico adecuadamente, a fin de minimizar la capacidad de los atacantes de suplantar sus dominios.
- Suplantación del nombre para mostrar: en este caso, se suplanta el nombre del emisor, que se muestra antes de la dirección de correo electrónico en el encabezado "De". Con frecuencia, se utiliza el nombre real de un empleado de la empresa. La mayoría de los clientes de correo electrónico ocultan automáticamente la dirección de correo del emisor y solo se visualiza el nombre para mostrar. Es por este motivo que los usuarios deberían revisar la dirección si el correo luce sospechoso. Existen varios tipos de suplantación de nombre para mostrar, como la simulación fantasma y la suplantación de AD. Kaspersky Secure Mail Gateway (KSMG) ofrece protección sólida contra los ataques de suplantación de AD al verificar la autenticidad del emisor y asegurar que los mensajes cumplan con estándares establecidos de autenticación de correos electrónicos.
- Suplantación de dominios similares: este método es más complejo porque requiere que el atacante registre un dominio similar al de la organización elegida y configure el correo electrónico, las firmas DKIM/SPF y la autenticación DMARC. De nuevo, existen varios tipos de suplantación, como Primary Lookalike (por ejemplo, cuando se escribe el dominio legítimo de una empresa con leves errores de ortografía) y la suplantación Unicode (en este caso, se reemplaza un carácter ASCII en el nombre del dominio con un carácter similar de Unicode). KSMG permite que las organizaciones se defiendan de los ataques de suplantación de identidad con dominios similares verificando la identidad del emisor y reduciendo el riesgo de recibir correos electrónicos engañosos.
Kaspersky Endpoint Security recibió el premio al "Producto del año" votado por los consumidores en función de análisis comparativos de los antivirus disponibles https://www.av-comparatives.org/tests/summary-report-2023/.
Artículos y enlaces relacionados:
- ¿Qué es la suplantación? Definición y explicación
- ¿Qué es el spear phishing?
- Correos electrónicos de phishing: cómo reconocerlos y evitarlos
Productos y servicios relacionados: