La seguridad del correo electrónico es el proceso de prevención de los ciberataques por correo electrónico y las comunicaciones no deseadas. Comprende la protección de las bandejas de entrada contra la apropiación, la protección de los dominios contra la suplantación de identidad, la detención de ataques de phishing, la prevención del fraude, el bloqueo del envío de malware, el filtrado del correo electrónico no deseado y el uso de la encriptación para proteger el contenido de los correos electrónicos de personas no autorizadas.

En los orígenes, la seguridad y la privacidad no estaban integradas en el correo electrónico y, a pesar de su importancia como método de comunicación, siguen sin estarlo por defecto. Como resultado, el correo electrónico es un importante vector de ataque para organizaciones grandes y pequeñas, y también para particulares.

¿Qué tipos de ataques se producen a través del correo electrónico?

Algunos de los tipos más comunes de ataques por correo electrónico son:

• Fraude: los ataques de fraude por correo electrónico pueden adoptar diversas formas, desde las clásicas estafas de pagos por adelantado dirigidas a cualquier persona hasta mensajes de ataques de correos electrónicos corporativos que pretenden engañar a los departamentos de contabilidad de las grandes empresas para que transfieran dinero a cuentas ilegítimas. A menudo, el atacante utiliza la suplantación de dominios para que parezca que la solicitud de fondos procede de una fuente legítima.
• Phishing: un ataque de phishing intenta que la víctima proporcione al atacante información confidencial. Los ataques de phishing por correo electrónico pueden dirigir a los usuarios a una página web falsa que recopila credenciales, o simplemente presionar al usuario para que envíe la información a una dirección de correo electrónico controlada de manera secreta por el atacante. La suplantación de dominios también es habitual en este tipo de ataques.
• Malware: los tipos de malware enviados por correo electrónico incluyen spyware, scareware, adware y ransomware, entre otros. Los atacantes pueden distribuir el malware a través del correo electrónico de varias maneras. Una de las más comunes es incluir un archivo adjunto en el correo electrónico que contenga código malicioso.
• Apropiación de cuentas: los atacantes se apropian de las bandejas de entrada del correo electrónico de los usuarios legítimos con diversos fines, como controlar sus mensajes, robar información o utilizar direcciones de correo electrónico legítimas para reenviar ataques de malware y correo electrónico no deseado a sus contactos.
• Interceptación del correo electrónico: los atacantes pueden interceptar los mensajes de correo electrónico para robar la información que contienen, o para llevar a cabo ataques en ruta en los que se hacen pasar por ambas partes de una conversación. El método más común para hacerlo es la monitorización de los paquetes de datos de la red en las redes de área local (LAN) inalámbricas, ya que interceptar un correo electrónico mientras transita por Internet es muy difícil.

Suplantación de dominios de correo electrónico

La suplantación de identidad de dominios de correo electrónico es importante en varios tipos de ataques por correo electrónico, ya que permite a los atacantes enviar mensajes desde direcciones que parecen legítimas. Esta técnica permite a los atacantes enviar un correo electrónico "desde" una dirección falsificada. Por ejemplo, si Chuck quiere engañar a Bob con un correo electrónico, podría enviarle un correo electrónico desde el dominio "@banco-fiable.com", aunque Chuck no sea realmente el propietario del dominio "banco-fiable.com" ni represente a esa organización.

¿Qué es un ataque de phishing?

El phishing es un intento de robar datos confidenciales, normalmente en forma de nombres de usuario, contraseñas u otra información importante de la cuenta. El atacante utiliza la información que ha robado, por ejemplo para hacerse con las cuentas con contraseña del usuario, o vender la información robada.

Los atacantes de phishing se hacen pasar por una fuente de confianza. Con una solicitud atractiva o aparentemente urgente, el atacante atrae a la víctima para que le proporcione información, al igual que una persona utiliza cebo para pescar.

El phishing suele realizarse por correo electrónico. Los atacantes intentan engañar a los usuarios para que envíen información por correo electrónico directamente, o mediante un enlace con una página web que controlan y que está diseñada para parecer legítima (por ejemplo, una página de inicio de sesión falsa en la que el usuario escribe su contraseña).

Hay varios tipos de phishing:

• El phishing de objetivo definido es muy selectivo y suele estar personalizado para ser más convincente.
• El phishing de altos cargos se dirige a personas importantes o influyentes dentro de una organización, como los ejecutivos. Se trata de un importante vector de amenaza en la seguridad del correo electrónico empresarial.
• Los ataques de phishing no relacionados con el correo electrónico incluyen el vishing (phishing a través de una llamada telefónica), el smishing (phishing a través de un mensaje de texto) y el phishing en las redes sociales.

Una estrategia de seguridad del correo electrónico puede incluir varios enfoques para bloquear los ataques de phishing. Las soluciones de seguridad del correo electrónico pueden filtrar los correos electrónicos procedentes de direcciones IP conocidas como incorrectas. Pueden bloquear o eliminar los enlaces insertados en los correos electrónicos para evitar que los usuarios naveguen a páginas web de phishing. O bien, pueden utilizar el filtrado de DNS para bloquear estas páginas web. Las soluciones de prevención de pérdida de datos (DLP) también pueden bloquear o redactar los mensajes salientes que contengan información confidencial.

Por último, los empleados de una organización deben recibir formación sobre cómo reconocer un correo electrónico de phishing.

¿Cómo se utilizan los archivos adjuntos al correo electrónico en los ataques?

Los archivos adjuntos del correo electrónico son una función muy útil, pero los atacantes la utilizan para enviar contenido malicioso a sus objetivos, incluido el malware.

Una forma de hacerlo es simplemente adjuntando el software malicioso como un archivo .exe y engañando al destinatario para que abra el archivo adjunto. Un método mucho más común es ocultar el código malicioso dentro de un documento aparentemente inofensivo, como un archivo PDF o Word. Ambos tipos de archivos admiten la inserción de código, como macros, que los atacantes pueden utilizar para realizar alguna acción malintencionada en el ordenador o computadora del destinatario, como descargar y abrir malware.

Muchas infecciones de ransomware en los últimos años han comenzado con un archivo adjunto de correo electrónico. Por ejemplo:

• El ransomware Ryuk suele entrar en una red a través de infecciones de TrickBot o Emotet, que se propagan a través de archivos adjuntos de correo electrónico.
• El ransomware Maze utiliza archivos adjuntos de correo electrónico para posicionarse dentro de la red de la víctima.
• Los ataques de ransomware Petya también suelen comenzar con un archivo adjunto de correo electrónico.

Parte de la seguridad del correo electrónico consiste en bloquear o neutralizar estos archivos adjuntos maliciosos. Esta práctica puede implicar el escaneo de todos los correos electrónicos con protección antimalware para identificar código malicioso. Además, los usuarios deben recibir formación para ignorar los archivos adjuntos inesperados o inexplicables. En el caso de los clientes de correo electrónico basados en la web, el aislamiento del navegador también puede ayudar a neutralizar estos ataques, ya que el archivo adjunto malicioso se descarga en un espacio aislado separado del dispositivo del usuario.

¿Qué es el correo no deseado?

Se refiere a los mensajes de correo electrónico no deseados o inapropiados, enviados sin el permiso del destinatario. Casi todos los proveedores de correo electrónico ofrecen algún tipo de filtrado de correo no deseado. Pero, inevitablemente, siguen llegando mensajes de correo no deseado a las bandejas de entrada de los usuarios.

Los remitentes de correo no deseado se ganan una mala "reputación de remitente de correo electrónico"* con el tiempo, lo que hace que cada vez más de sus mensajes se marquen como correo no deseado. Por esta razón, a menudo se ven motivados a invadir las bandejas de entrada de los usuarios, a robar espacio de direcciones IP o a falsificar dominios para enviar correo no deseado que no se detecte como tal.

Los particulares y las organizaciones pueden adoptar varias medidas para reducir el correo no deseado que reciben. Pueden limitar o eliminar los listados públicos de sus direcciones de correo electrónico, o implementar un filtro de correo no deseado de terceros, además del filtro que proporciona su servicio de correo electrónico. Además, pueden ser coherentes a la hora de marcar los correos electrónicos como correo no deseado, con el fin de entrenar mejor el filtro que tienen.

*Si los destinatarios no abren o marcan como correo no deseado un elevado porcentaje de los correos electrónicos de un remitente, o si los mensajes de un remitente rebotan demasiado, los proveedores de servicios de Internet y los servicios de correo electrónico rebajan la reputación de remitente de correo electrónico.

¿Cómo se apropian los atacantes de las cuentas de correo electrónico?

Los atacantes pueden utilizar una bandeja de entrada robada para distintos propósitos, tales como el envío de correo no deseado, el inicio de ataques de phishing, la distribución de malware, la recopilación de listas de contactos o el uso de la dirección de correo electrónico para robar más cuentas del usuario.

Pueden utilizar varios métodos para entrar en una cuenta de correo electrónico:

• Compra de listas de credenciales previamente robadas: a lo largo de los años ha habido muchas fugas de datos personales, y las listas de credenciales de nombre de usuario/contraseña robadas circulan libremente en la web oscura. Un atacante puede comprar esa lista y utilizar las credenciales para entrar en las cuentas de los usuarios, a menudo mediante el relleno de credenciales.
• Ataques por fuerza bruta: en este tipo de ataque, un atacante carga una página de inicio de sesión y utiliza un bot para adivinar rápidamente las credenciales de un usuario. La limitación de la velocidad y los límites de entrada de contraseñas frenan eficazmente este método.
• Ataques de phishing: el atacante puede haber realizado un ataque de phishing previo para obtener las credenciales de inicio de sesión de la cuenta de correo electrónico del usuario.
• Infecciones del navegador web: al igual que en el caso de los ataques en ruta, un atacante puede infectar el navegador web de un usuario para ver toda la información que introduce en las páginas web, incluido su nombre de usuario y contraseña de correo electrónico.
• Spyware: el atacante puede haber infectado el dispositivo del usuario e instalado un software espía para rastrear todo lo que escribe, incluido su nombre de usuario y contraseña de correo electrónico.

El uso de la autenticación multifactor (MFA) en lugar de la autenticación de contraseña de un único factor es una forma de proteger las bandejas de entrada para evitar el riesgo. Las empresas también pueden exigir a sus usuarios que sigan un proceso de inicio de sesión único (SSO) en lugar de acceder directamente al correo electrónico.

¿Cómo puede la encriptación proteger el correo electrónico?

La encriptación es el proceso de codificar los datos para que solo las partes autorizadas puedan descifrarlos y leerlos. La encriptación es como cerrar con un sello un sobre que contiene una carta para que solo el destinatario pueda leer el contenido de la misma, aunque cualquiera manipule la carta mientras viaja del remitente al destinatario.

La encriptación no se incorpora al correo electrónico de forma automática. Esto significa que enviar un correo electrónico es como enviar una carta sin un sobre que proteja su contenido. Los correos electrónicos suelen contener datos personales y confidenciales, por lo que puede ser un gran problema.

Al igual que una carta no va instantáneamente de una persona a otra, los correos electrónicos no van directamente del remitente al destinatario. En su lugar, atraviesan varias redes conectadas y se enrutan de servidor de correo a servidor de correo hasta que finalmente llegan al destinatario. Cualquiera que se encuentre en medio de este proceso podría interceptar y leer el correo electrónico si no está encriptado, incluido el proveedor de servicios de correo electrónico. Sin embargo, el lugar más probable para que se intercepte un correo electrónico es cerca del origen del mismo, a través de una técnica llamada detectores de paquetes (monitorización de paquetes de datos en una red).

La encriptación es como cerrar un sobre con correo electrónico. La mayor parte de la encriptación del correo electrónico funciona mediante criptografía de clave pública (más información). Algunas técnicas de encriptación de correo electrónico son de extremo a extremo, lo que protege el contenido del correo electrónico del proveedor de servicios de correo electrónico, además de cualquier parte externa.

¿Cómo ayudan los registros DNS a prevenir los ataques al correo electrónico?

El sistema de nombres de dominio (DNS) almacena registros públicos sobre un dominio, incluida la dirección IP de ese dominio. El DNS es esencial para permitir a los usuarios conectarse a sitios web y enviar correos electrónicos sin tener que memorizar largas direcciones IP alfanuméricas.

Hay distintos tipos de registros DNS especializados que ayudan a garantizar que los correos electrónicos provienen de una fuente legítima y no de un suplantador: registros SPF, DKIM y DMARC. Los proveedores de servicios de correo electrónico comprueban los correos electrónicos con estos tres registros para ver si proceden del lugar del que dicen y no han sido alterados en tránsito.

El asistente para seguridad del DNS para el correo electrónico de Cloudflare ayuda a los propietarios de dominios a configurar de forma rápida y adecuada estos registros DNS fundamentales. Para obtener más información, consulta nuestra publicación del blog.

¿Cómo se pueden detener los ataques de phishing?

Muchos proveedores de correo electrónico incorporan protecciones contra el phishing (y los registros DNS mencionados anteriormente suelen ser una de las señales que revisan para bloquear los intentos de phishing). Sin embargo, siguen llegando de forma periódica correos electrónicos de phishing a las bandejas de entrada de los usuarios. Muchas organizaciones emplean una protección adicional contra el phishing para defender mejor a sus usuarios y redes.

Las soluciones de seguridad de correo electrónico de Cloudflare Area 1 ofrecen protección contra el phishing basada en la nube. Cloudflare Area 1 detecta previamente la infraestructura de phishing y analiza los patrones de tráfico para correlacionar los ataques e identificar las campañas de phishing. Más información sobre cómo funciona este servicio contra el phishing.

Fuente: https://www.cloudflare.com/es-es/learning/email-security/what-is-email-security/