Los sitios webs más populares son vulnerables al 'spoofing'

El correo spoofing es una táctica muy común entre hackers y spammers en la cual se utiliza una dirección de correo falsa con fines maliciosos; estos mensajes pueden parecer provenientes de Google, de un banco, o incluso de un amigo si han llevado a cabo ingeniería social, pero siempre son correos falsos.

Los sistemas de autentificación han intentado solucionar este problema, pero la mayoría de las webs más importantes están fallando a la hora de utilizarlos de la forma correcta, lo cual abre la puerta al spoofing según explica la firma de seguridad sueca Detectify.

La empresa ha analizado las 500 webs top del mundo (según Alexa) y ha descubierto que 276 de la lista tienen dominios vulnerables al ‘spoofing’. De esas webs, el 40% eran de noticias y medios, y un 16% eran empresas que ofrecían software como servicio.

Una forma común de intentar prevenir este tipo de ataques es mediante un sistema de validación llamado Sender Policy Framework, que básicamente crea un listado público advirtiendo de los servidores de correos que tienen permitido utilizar el dominio web. Idealmente, cualquier mensaje asociado al dominio se detecta como spam y es rechazado.

En la práctica, sin embargo, este sistema no puede ser suficiente en muchos casos. El SPF filtrará los correos de spam cuando los encuentre en la zona de ajustes, pero muchas de las webs implementan el sistema en un nivel mucho más “suave”, por lo cual aunque se etiqueten y adviertan como correos spam, siguen siendo mandados al destinatario.

Las empresas a cargo de los dominios webs hacen esto para evitar perder ningún email legítimo que a lo mejor sea etiquetado erróneamente, según estima John Levine, un consultor de infraestructura email. “Hay muchas formas de mandar un correo legítimamente, y el SOF solo puede computar algunas de ellas”, ha añadido.

Los proveedores de correos, como por ejemplo Gmail, también suelen marcar los correos sospechosos como spam, incluso aunque se utilice un SPF en su versión más débil según ha explicado Detectify.

Las empresas responsables de los diferentes dominios afectados no solían conocer su problema, o asumían que ya estaban protegidos suficientemente. Implementar un mejor sistema de validación puede ser complicado, y algunas empresas no lo marcan como una prioridad.

“Mucha gente piensa erróneamente que están protegidos al usar el SPF”, explica la compañía sueca de seguridad. Por ello, aconsejan utilizar un sistema de validación nuevo que se llama DMARC para prevenir el problema.

DMARC está siendo muy adoptada en la industria TI, incluyendo entre Yahoo y Google. Su protocolo está diseñado esencialmente para optimizar el proceso de detección de emails de spoofing, aunque aún no se conoce mucho. De hecho, según el estudio de Detectify, solo un 42% de las 500 empresas Top usan este sistema.

Aunque queda lejos de ser un sistema blindado, ha sido mucho más efectivo a la hora de prevenir ataques. Por ejemplo, muchos atacantes contra usuarios de Paypal han desistido del ‘phishing’ como resultado de adoptar DMARC, según declaró Kaspersky Lab en 2015.