Blog

En este momento estás viendo Cómo identificar intentos de phishing con SPF, DKIM y DMARC

Cómo identificar intentos de phishing con SPF, DKIM y DMARC

El phishing por correo sigue siendo una de las amenazas más comunes y por desgracia más efectivas en la actualidad. En este artículo os contamos sobre otras técnicas de phishing. Los ciberdelincuentes utilizan tácticas cada vez más sofisticadas para engañar a los usuarios y hacer que revelen información confidencial. En este artículo, analizaremos un caso real de intento de phishing suplantando a la Agencia Tributaria; Explicaremos cómo investigando las cabeceras del correo y analizando los registros SPF, DKIM y DMARC podemos detectar estos ataques y mejorar la protección del correo para evitar estos ataques de phishing.

Caso real: intento de suplantación de la Agencia Tributaria

Recientemente, recibimos un correo electrónico supuestamente enviado por la Agencia Tributaria desde la dirección AgenciaTributaria@correo.aeat.es. El mensaje incluía un enlace para iniciar sesión y ver una notificación importante.

Captura de un correo supuestamente recibido desde AgenciaTributaria[arroba]correo[punto]aeat[punto]es Indicando que tenemos una notificacion y un enlace para iniciar sesión y ver la notificacion

Nos hace sospechar el enlace y la URL del enlace no es de la AEAT. También, la dirección en la que recibimos la supuesta notificación no es la que hemos registrado. Así que nos ponemos manos a la obra y al analizar el encabezado del correo, encontramos señales claras de que se trataba de un intento de phishing por correo:

  • SPF (Sender Policy Framework) – FALLO: El servidor que envió el correo no estaba autorizado para enviar mensajes en nombre de correo.aeat.es.
  • DKIM (DomainKeys Identified Mail) – NO CONFIGURADO: No había ninguna firma criptográfica para validar la autenticidad del remitente.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance) – FALLO: El dominio no cumple con las políticas de autenticación establecidas.

Fragmento del encabezado del correo fraudulento:

Authentication-Results: strato.com;
    dmarc=fail (p=NONE sp=NONE) header.from="correo.aeat.es";
    spf=fail smtp.mailfrom="AgenciaTributaria@correo.aeat.es"
Received-SPF: fail (strato.com: domain correo.aeat.es does not designate 54.163.230.99 as permitted sender)
    client-ip=54.163.230.99;
    helo="ballston.bizmarquee.com";

La dirección IP del remitente (54.163.230.99) no pertenece a la Agencia Tributaria y no está autorizada, lo que confirmaba que el correo no era legítimo.

Comparación con un correo legítimo de la Agencia Tributaria

Para contrastar, analizamos un correo legítimo enviado por la Agencia Tributaria, donde observamos lo siguiente:

  • SPF – PASA: La IP de envío estaba dentro de la lista de remitentes autorizados.
  • DKIM – PASA: Se incluía una firma DKIM válida firmada por aeat.es.
  • DMARC – PASA: La autenticación cumplía con las políticas establecidas por la entidad legítima.

Fragmento del encabezado del correo legítimo:

Authentication-Results: strato.com;
    dmarc=pass (p=NONE sp=NONE) header.from="correo.aeat.es";
    spf=pass smtp.mailfrom="AgenciaTributaria@correo.aeat.es"
Received-SPF: pass (strato.com: domain correo.aeat.es designates 195.77.198.96 as permitted sender)
    client-ip=195.77.198.96;
    helo="mx1.correo.aeat.es";

Aquí podemos ver que el remitente tiene una IP permitida y autenticada correctamente.

La importancia de la configuración de seguridad

Sabemos que para el usuario final revisar las cabeceras de un correo puede ser una tarea técnica y compleja. Es por eso que los responsables de ciberseguridad debemos asegurarnos de que las tecnologías de detección y mitigación estén correctamente configuradas para bloquear estos correos antes de que lleguen a la bandeja de entrada del usuario.

El uso adecuado de mecanismos como el SPF, DKIM y DMARC no solo ayuda a detectar intentos de phishing, sino que también permite establecer políticas más estrictas para evitar la entrega de correos fraudulentos; mejorando la protección del correo para evitar estos ataques de phishing.

¿Cómo protegerse de estos ataques de phishing?

Para los usuarios que debemos detectar y protegernos de estos ataques, es fundamental que sigamos estas tres máximas de seguridad para evitar ser víctima de phishing:

  1. Confianza cero: No confíes en ningún correo de forma automática, aunque parezca provenir de una fuente conocida.
  2. No hacer clic en enlaces por defecto: En lugar de acceder haciendo clic en los enlaces del correo, ingresa a la web oficial de la entidad directamente desde el navegador.
  3. Desconfiar de adjuntos no solicitados y verifica siempre el remitente: Si recibes un correo inesperado con un archivo adjunto, no lo abras. Si tienes dudas sobre su legitimidad, contacta al remitente por otro medio.

Mantente alerta y protege tu información!

Este caso demuestra la importancia de contar con mecanismos de autenticación como SPF, DKIM y DMARC para validar el origen de los correos electrónicos. La protección es un trabajo de todos. Los administradores de sistemas y responsables de seguridad deben asegurarse de que los correos fraudulentos sean detectados y bloqueados antes de que lleguen a los buzones de los usuarios. Por su parte debemos concienciar a todos los usuarios de las tecnicas que usan los ciberdelincuentes para lograr su propósito.

En sysCelta, ayudamos a empresas a protegerse contra estos ataques mediante asesoramiento y soluciones de ciberseguridad. Si quieres conocer más sobre cómo proteger tu empresa, contáctanos.

Deja una respuesta