[box_light]La mayoría de nosotros sabemos de spam cuando lo vemos, pero al ver un extraño email de un amigo, o algo peor, de nosotros mismos en nuestra bandeja de entrada es bastante desconcertante. Si usted ha visto un correo electrónico que parece que es de un amigo, eso no quiere decir que han sido hackeados. Los spammers falsifican las direcciones todo el tiempo, y no es difícil de hacer. Así es como lo hacen, y cómo usted puede protegerse a sí mismo.[/box_light]

Los spammers han engañado  (spoofing) direcciones de correo electrónico por un largo tiempo. Años atras, se utilizaban para obtener  contactos, las listas  de PCs infectados con malware. Ladrones de datos de hoy en día eligen sus objetivos con cuidado, y los capturan con mensajes que parecen que vinieran de los amigos, de fuentes de confianza, o incluso su propia cuenta.

[toggle_simple title=”¿Qué es Spoofing?” width=”Width of toggle box”]Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque – al menos la idea – es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes (no tenemos más que pensar en los comandos r-, los accesos NFS, o la protección de servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización.

Como hemos visto, en el spoofing entran en juego tres máquinas: un atacante, un atacado, y un sistema suplantado que tiene cierta relación con el atacado; para que el pirata pueda conseguir su objetivo necesita por un lado establecer una comunicación falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el ataque 

Probablemente esto último no le sea muy difícil de conseguir: a pesar de que existen múltiples formas de dejar fuera de juego al sistema suplantado – al menos a los ojos del atacado – que no son triviales (modificar rutas de red, ubicar un filtrado de paquetes entre ambos sistemas…), lo más fácil en la mayoría de ocasiones es simplemente lanzar una negación de servicio contra el sistema en cuestión. 

Aunque en el punto siguiente hablaremos con más detalle de estos ataques, no suele ser difícil de tumbar, o al menos bloquear parcialmente, un sistema medio; si a pesar de todo el atacante no lo consigue, simplemente puede esperar a que desconecten de la red a la máquina a la que desea suplantar (por ejemplo, por cuestiones de puro mantenimiento).

El otro punto importante del ataque, la comunicación falseada entre dos equipos, no es tan inmediato como el anterior y es donde reside la principal dificultad del spoofing. 
En un escenario típico del ataque, un pirata envía una trama SYN a su objetivo indicando como dirección origen la de esa tercera máquina que está fuera de servicio y que mantiene algún tipo de relación de confianza con la atacada. El host objetivo responde con un SYN+ACK a la tercera máquina, que simplemente lo ignorará por estar fuera de servicio (si no lo hiciera, la conexión se resetearía y el ataque no sería posible), y el atacante enviará ahora una trama ACK a su objetivo, también con la dirección origen de la tercera máquina.

Para que la conexión llegue a establecerse, esta última trama deberá enviarse con el número de secuencia adecuado; el pirata ha de predecir correctamente este número: si no lo hace, la trama será descartada), y si lo consigue la conexión se establecerá y podrá comenzar a enviar datos a su objetivo, generalmente para tratar de insertar una puerta trasera que permita una conexión normal entre las dos máquinas.

Podemos comprobar que el spoofing no es inmediato; de entrada, el atacante ha de hacerse una idea de cómo son generados e incrementados los números de secuencia TCP, y una vez que lo sepa ha de conseguir engañar a su objetivo utilizando estos números para establecer la comunicación; cuanto más robusta sea esta generación por parte del objetivo, más difícil lo tendrá el pirata para realizar el ataque con éxito.

Además, es necesario recordar que el spoofing es un ataque ciego: el atacante no ve en ningún momento las respuestas que emite su objetivo, ya que estas van dirigidas a la máquina que previamente ha sido deshabilitada, por lo que debe presuponer qué está sucediendo en cada momento y responder de forma adecuada en base a esas suposiciones.

Sería imposible tratar con el detenimiento que merecen todos los detalles relativos al spoofing por lo que para obtener información adicional es necesario dirigirse a excelentes artículos que estudian todos los pormenores del ataque, como o ; de la misma forma, para conocer con detalle el funcionamiento del protocolo TCP/IP y sus problemas podemos consultar , , y .

Para evitar ataques de spoofing exitosos contra nuestros sistemas podemos tomar diferentes medidas preventivas; en primer lugar, parece evidente que una gran ayuda es reforzar la secuencia de predicción de números de secuencia TCP: un esquema de generación robusto puede ser el basado en , que la mayoría de Unix son capaces de implantar (aunque muchos de ellos no lo hagan por defecto). Otra medida sencilla es eliminar las relaciones de confianza basadas en la dirección IP o el nombre de las máquinas, sustituyéndolas por relaciones basadas en claves criptográficas; el cifrado y el filtrado de las conexiones que pueden aceptar nuestras máquinas también son unas medidas de seguridad importantes de cara a evitar el spoofing.

Hasta ahora hemos hablado del ataque genérico contra un host denominado spoofing o, para ser más exactos, IP Spoofing; existen otros ataques de falseamiento relacionados en mayor o menor medida con este, entre los que destacan el DNS Spoofing, el ARP Spoofing y el Web Spoofing .
Para finalizar este punto, vamos a comentarlos brevemente e indicar algunas lecturas donde se puede ampliar información sobre los mismos:
· DNS Spoofing
Este ataque hace referencia al falseamiento de una dirección IP ante una consulta de resolución de nombre (esto es, resolver con una dirección falsa un cierto nombre DNS), o viceversa (resolver con un nombre falso una cierta dirección IP). Esto se puede conseguir de diferentes formas, desde modificando las entradas del servidor encargado de resolver una cierta petición para falsear las relaciones dirección-nombre, hasta comprometiendo un servidor que infecte la caché de otro (lo que se conoce como DNS Poisoning); incluso sin acceso a un servidor DNS real, un atacante puede enviar datos falseados como respuesta a una petición de su víctima sin más que averiguar los números de secuencia correctos.
· ARP Spoofing
El ataque denominado ARP Spoofing hace referencia a la construcción de tramas de solicitud y respuesta ARP falseadas, de forma que en una red local se puede forzar a una determinada máquina a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.
La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde negaciones de servicio hasta interceptación de datos, incluyendo algunos Man in the Middle contra ciertos protocolos cifrados. En podemos obtener más información acerca de este ataque, así como código fuente para enviar tramas falseadas y comprobar los efectos del ARP Spoofing en nuestra red.
· Web Spoofing
Este ataque permite a un pirata visualizar y modificar cualquier página web que su víctima solicite a través de un navegador, incluyendo las conexiones seguras vía SSL.
Para ello, mediante código malicioso un atacante crea una ventana del navegador correspondiente, de apariencia inofensiva, en la máquina de su víctima; a partir de ahí, enruta todas las páginas dirigidas al equipo atacado – incluyendo las cargadas en nuevas ventanas del navegador – a través de su propia máquina, donde son modificadas para que cualquier evento generado por el cliente sea registrado (esto implica registrar cualquier dato introducido en un formulario, cualquier click en un enlace, etc.). 
Para obtener más información acerca del Web Spoofing podemos consultar
Edward W. Felten, Dirk Balfanz, Drew Dean, and Dan S. Wallach. 
Web Spoofing: an Internet Con Game. 
Technical Report 540-96, Princeton University Department of Computer Science, 1996. 
Revisado en febrero de 1997.[/toggle_simple]

Resulta que la suplantación de direcciones de correo electrónico reales es sorprendentemente fácil, y parte de la razón por el phishing es un problema. Ingeniero de Sistemas, CISSP aspirantes, y Lifehacker lector de Mateo nos alertados a su funcionamiento, sino que también nos tomaron por sorpresa por correo electrónico a algunos de nosotros en Lifehacker de direcciones de correo electrónico de otros escritores Lifehacker. A pesar de que sabíamos que era posible-todos hemos conseguido el spam antes-era más desconcertante realidad se deje engañar por él. Así, hablamos con él sobre cómo lo hizo y lo que la gente puede hacer para protegerse a sí mismos.

Hoy en día, la mayoría de los proveedores de correo electrónico tienen el problema del spam resuelto, al menos para su propia satisfacción. Gmail y Outlook tienen algoritmos fuertes y sofisticados de  caza de spam  y potentes herramientas de filtrado. De vuelta en la década de 2000, pensaron que no era el caso. El spam sigue siendo un gran problema de que los servidores de correo aún tenían que abordar seriamente, y es más del cual deberían desarrollar herramientas avanzadas para la gestión.

En el 2003, Meng Weng Wong propone una forma para que los servidores de correo puedan “verificar” que la dirección IP (el número único que identifica a un ordenador en Internet le envió  un mensaje, deberá ser autorizado  con el nombre de un dominio específico. Se llama el Formulario Permitido por el remitente(mi ingles da pena) . Sender Permited Form (renombrado a “Sender Policy Framework” en el 2004).

Cada vez que un mensaje de correo electrónico fuera enviado, el servidor de correo electrónico que recibe debía comparar la IP de origen del mensaje con la dirección IP que aparece en el registro SPF para el host de la dirección de correo electrónico (verificar esto “@ ejemplo.com”.)
Si las dos direcciones IP coinciden, entonces el correo electrónico podría pasar a su destinatario. Si las direcciones IP no coinciden, entonces el correo se marca como correo no deseado o rechazado por completo. La carga de decidir el resultado estaba completamente en manos del servidor de recepción.

Con los años, los registros SPF han evolucionado (la más reciente RFC fue publicado en abril del 2014), y la mayoría de los dominios en Internet tienen registros SPF (se pueden buscar aquí).

Cuando se registra un dominio, también registra un número de registros DNS que van junto con ella . Esos registros le dicen a todas las computadoras se comuniquen en función de lo que quieren hacer ( correo electrónico, Web , FTP , etc ) . El registro SPF es un ejemplo, y lo ideal sería asegurarse de que todos los servidores de correo en Internet sepan de donde las personas  envían los correos  por ejemplo , @ ozom.cl , eran en realidad los usuarios y equipos autorizados.

Sin embargo , este método no es perfecto , que es parte de por qué no tuvo éxito completo. Registros SPF requieren la administración , alguien realmente añadiendo nuevas direcciones IP y la eliminación de los antiguos, y el tiempo para el registro de propagarse a través de Internet cada vez que se realiza un cambio . ( Actualización: Hemos empatado previamente las comprobaciones SPF a las direcciones IP del usuario, cuando la tecnología se utiliza realmente por servidores de correo para verificar que el servidor a través del cual pasa un mensaje es un emisor autorizado en nombre de un dominio dado , no que el dispositivo que se utiliza esté autorizado a enviar en nombre de una determinada dirección . La mayoría de las empresas utilizan una versión suave de SPF de todos modos. En lugar de riesgo de falsos positivos mediante el bloqueo de correo normal , implementan “duro ” y ” blando” falla. Hosts de correo electrónico también se aflojaron las restricciones sobre lo que ocurre con los mensajes que no logran ese cheque. Como resultado, el correo electrónico es más fácil para las empresas para gestionar, pero el phishing es fácil, y es un gran problema .

Luego, en 2012 , un nuevo tipo de registro se introdujo , diseñado para trabajar junto SPF. Se llama DMARC , o de mensajes basado en dominio de autenticación , generación de informes y Conformidad . Al cabo de un solo año , se amplió para proteger a un gran número de buzones de correo de los consumidores ( . Aunque el autoproclamado 60 % es probablemente optimista) Mateo explica los detalles :

El DMARC se reduce a dos opciones importantes (aunque hay 10 en total) – la bandera “p” , que indica a servidores que lo reciben en la forma de tratar con los correos electrónicos potencialmente falsos , ya sea mediante el rechazo , poner en cuarentena o que pasa ; y la bandera ” rua ” , que narra la recepción de los servidores donde se puede enviar un informe acerca de los mensajes fallidos (normalmente una dirección de correo electrónico en el grupo de seguridad del dominio de administración ) . El récord DMARC resuelve la mayoría de los problemas con los registros SPF tomando la carga de decidir cómo responder de distancia del receptor.
El problema es que no todo el mundo utiliza DMARC todavía.

Eso significa que cualquier host de correo electrónico que intenta ajustarse a las reglas de DMARC no tendría ninguna instrucción sobre cómo manejar SPF no correos electrónicos, y probablemente dejarlos pasar . Eso es lo que hace Google con Gmail (y Google Apps) , y es por eso que los correos electrónicos falsos pueden conseguir a través de su bandeja de entrada .

Esto es todo a grandes rasgos . Hemos trasquilado sobre algunos detalles, pero no muchos. La mayor advertencia aquí es que si hace click en el mensaje de respuesta falsa, cualquier cosa que mande de vuelta va al verdadero propietario de la dirección, no el Spoofer. Eso no le importa a los ladrones, sin embargo, ya que los spammers y phishers están simplemente esperando que usted haga clic en enlaces o abrir archivos adjuntos.

La disyuntiva es clara: Desde SPF nunca logro capturar  en la manera que se esperaba, no es necesario añadir la dirección IP de su dispositivo a una lista y esperar 24 horas cada vez que viaje, o desea enviar correo electrónico desde su nuevo teléfono inteligente . Sin embargo, esto también significa que el phishing sigue siendo un problema importante. Lo peor de todo es que es tan fácil que cualquiera puede hacerlo.

Qué puedes hacer para protegerte

Todo esto puede parecer arcano, o parecer como un montón de alboroto por un par de correos electrónicos de spam miserables . Después de todo , la mayoría de nosotros sabemos de spam cuando lo vemos. Pero la verdad es que por cada cuenta donde se marcan los mensajes , hay otra en la que correos electrónicos de phishing navegan en las bandejas de entrada de los usuarios.

Mathew explicó que  utilizó para falsificar direcciones con amigos sólo como broma  y darles un poco de susto – al igual que el jefe se enojó con ellos o la recepcionista enviado por correo electrónico a decir que su automóvil fue remolcado , pero se dieron cuenta de que funcionaba demasiado bien , incluso desde fuera de la red de la empresa . Los mensajes falsos entran por el servidor de correo de la compañía , con fotos de perfil , el estado de IM empresarial , información de contacto auto – poblada , y más, todo amablemente agregado por el servidor de correo, y todos los que hace que el email falso aspecto de fiar . Cuando probó el proceso , no había mucho trabajo antes de ver mi su propia  cara mirando hacia él  en su bandeja de entrada o de Whitson , o incluso Adam Dachis ‘ , que ni siquiera tiene una dirección de correo electrónico.

Peor aún , la única manera de saber que el correo electrónico no es de la persona que parece, es que observar en los encabezados y saber lo que estás buscando (como hemos descrito anteriormente. ) ¿Quién tiene tiempo para eso en medio de un ajetreado día de trabajo ? Incluso una rápida respuesta al correo electrónico falso acaba de generar confusión. Es una manera perfecta de hacer un poco de caos o que distintos individuos  pongan en peligro su propio PC o renunciar a la información de inicio de sesión . Pero si usted ve algo que es incluso un poco sospechosa, por lo menos tener una herramienta más en su arsenal.

Por lo tanto, si usted está buscando para proteger sus bandejas de entrada de mensajes de este tipo, hay un par de cosas que usted puede hacer:

• Activar sus filtros de spam, y el uso de herramientas como el Priority Inbox. Configuración del correo no deseado filtra un poco más fuerte puede-dependiendo de su proveedor de correo-hacen la diferencia entre un mensaje de que no cumple con el aterrizaje de verificación SPF en el spam frente a su bandeja de entrada. Del mismo modo, si usted puede utilizar servicios como Priority Inbox de Gmail o VIP de Apple, que esencialmente deja la cifra servidor de correo a las personas importantes para usted.

• Aprenda a leer las cabeceras de los mensajes, y rastrear las direcciones IP. Le explicamos cómo hacerlo en este post sobre el rastreo del origen de correo no deseado, y es una buena habilidad para tener. Cuando un correo electrónico sospechoso en la entrada, usted será capaz de abrir los encabezados, mira la dirección IP del remitente, y ver si coincide con los correos electrónicos anteriores de la misma persona. Incluso se puede hacer una búsqueda inversa de IP del remitente para ver dónde está-que pueden o no ser de carácter informativo, pero si usted recibe un correo electrónico de su amigo al otro lado de la ciudad que se originó en Rusia (y no esta de  viaje), debería notar que algo pasa.
  [toggle_simple title=”Cómo rastrear IP” width=”Width of toggle box”]Gmail: Seleccione el mensaje de correo no deseado. Haga clic en la flecha hacia abajo junto a la flecha respuesta. Seleccione “Mostrar original”.
  Apple Mail: Seleccione el mensaje de correo no deseado. Haga clic en Ver> Mensaje> Todos Headers.
  Outlook: Haga doble clic para seleccionar el mensaje deseado y abrirlo en una nueva ventana. Haga clic en Archivo> Información> Propiedades. La cabecera se visualiza en “Encabezados de Internet”. P
  Thunderbird: Seleccione el mensaje de correo no deseado. Haga clic en Ver> Conectores> Todos.
  Yahoo!: Seleccione el mensaje de correo no deseado. Haga clic en “Encabezados completos” por debajo de la email.
  Hotmail: Seleccione el mensaje de correo no deseado. Haga clic en la flecha hacia abajo junto a la flecha respuesta. Seleccione “Ver código fuente del mensaje.”[/toggle_simple]
• Nunca haga click en vínculos desconocidos o descargar archivos adjuntos desconocidos. Esto puede parecer una obviedad, pero lo único que se necesita es un empleado de una empresa de ver un mensaje de su jefe o alguien más en la empresa para abrir un archivo adjunto o hacer clic en un enlace gracioso Google Docs para exponer toda la red corporativa. Muchos de nosotros pensamos que estamos por encima de haber sido engañado de esa manera, pero pasa todo el tiempo. Preste atención a los mensajes que recibe, no haga clic en enlaces en el correo electrónico (ir a, compañía de cable de su banco u otro sitio web directamente y acceda a encontrar lo que quieren que veas), y no descargar archivos adjuntos de correo electrónico que ‘re no esperando de forma explícita. Mantenga antimalware actualizado en su ordenador hasta la fecha.
• Si administra su propio correo electrónico, auditar a ver cómo responde a SPF y DMARC registros. Usted puede ser capaz de preguntar a su proveedor de alojamiento web acerca de esto, pero no es difícil de comprobar por su cuenta utilizando el mismo método de suplantación de identidad que hemos descrito anteriormente. Alternativamente, revise su carpeta de correo no deseado que puede ver mensajes ahí de ti mismo, o de las personas que conoce. Pregunte a su proveedor de alojamiento web si pueden cambiar la manera en que su servidor SMTP está configurado, o considerar el cambio a través de los servicios de correo a algo como Google Apps para tu dominio.
• Si usted es dueño de su propio dominio, archivar registros Dmarc para ello.   Usted tiene control sobre qué tan agresivo quiere ser, pero leer sobre cómo presentar registros Dmarc y actualizar el tuyo con el registrador de dominios. Si no estás seguro de cómo, esto debería ser capaz de ayudar Dmarc. Si usted está recibiendo mensajes falsos en una cuenta de la compañía. Ellos pueden tener una razón para no presentar registros Dmarc ( explicó que dijeron que no podían hacerlo porque cuentan con servicios externos que necesitan enviar utilizando la compañía de dominios, algo fácil de solucionar, pero ese tipo de pensamiento es parte del problema), pero por lo menos se les deja saber.

Ya saben chicos edúquense. Mantengan su software anti-malware actualizado. Por último, mantengan un ojo en temas como estos, ya que continuarán evolucionando a medida que se mejoran las formas para combatir el spam y el phishing.

Eso a sido todo, un abrazo se despide

Miunich.