¿Cómo realizar una investigación concerniente a la seguridad de un correo electrónico?

No cabe duda de que el correo electrónico se ha convertido en uno de los medios de comunicación más confiables y de continuo uso. Aunque mucha gente aún lo usa para comunicaciones personales, este es usado principalmente para todo tipo de comunicaciones de índole laboral. Puedes organizar reuniones internas, o tratar los puntos en tus presentaciones a clientes potenciales, incluso lo puedes usar como un canal para mantener las relaciones con tus inversores, todo esto y más se realiza a través del correo electrónico.

Pero, ¿sabes algo acerca de sus desventajas? La dura realidad es que los criminales informáticos usan mucha de la información confidencial generada en los correos con fines maliciosos; esto se ve reflejado en el informe anual del año 2020 emitido por el Centro de Quejas de Delitos en Internet (IC3) del FBI, quienes registraron al menos 791.790 denuncias de presuntos delitos cometidos en línea, todas bajo diversas modalidades, tales como estafas phishing, estafas de falta de pago/falta de entrega y variantes de extorsión fueron los tres principales delitos cibernéticos durante este periodo.

Cuando ocurre un incidente cibernético, las empresas deben realizar una investigación inmediata de su infraestructura de correo electrónico para poder identificar la causa y tomar las medidas necesarias para corregir el problema. También resulta crucial monitorear la actividad de los sitios web que visitan tus empleados, para lo cual puedes usar el verificador de URLs antiphishing de EasyDMARC, el cual es una herramienta que funciona de forma rápida y fácil para la detección de sitios web maliciosos y de ataques de phishing.

Objetivos de las investigaciones concernientes a los correos electrónicos

Antes de comprender cómo llevar a cabo una investigación de correos phishing, es necesario saber que la investigación de correos es una rama de la ciencia forense digital, la cual combina técnicas usadas para la compilación de evidencia criminal basada en los intercambios de correos electrónicos.

El proceso de investigación para correos electrónicos se encarga de localizar el origen de los delitos cibernéticos al cubrir cuidadosamente el historial del correo enviado que ha provocado el evento, por lo que, en consecuencia, este es usado para encontrar todas las partes involucradas en la actividad delictiva.

Vale la pena señalar que el origen de este último no tiene que ser necesariamente en línea; está más que claro que los delitos cibernéticos, tales como el phishing y la suplantación de identidad pueden necesitar una investigación más profunda, pero digamos que los vectores que afectan a una víctima en línea tienen un componente que pueden necesitar otra investigación completa de forma separada.

Los investigadores que se enfocan en el ámbito forense de los correos electrónicos suelen analizar el remitente real (no la persona cuya dirección de correo ha sido explotada por el atacante o estafador), también le dedica tiempo a estudiar al destinatario y las fechas y horas de recepción del mensaje.

¿Cómo se hace una investigación forense para un correo electrónico?

Para llevar a cabo una investigación forense exitosa de un correo electrónico, es necesario seguir varios pasos y examinar algunos componentes, los cuales discutimos a continuación: 

Análisis del encabezado

El encabezado de un correo electrónico contiene información importante que puede asistirnos en una investigación de correo, ya que una parte de los datos se mantiene oculta para el usuario, el cual solo puede ver el asunto, la fecha y la dirección del correo del remitente. Muchas personas no saben que los piratas informáticos frecuentemente falsifican esta información para que parezca genuina.

Es posible extraer detalles adicionales u ocultos con ciertos métodos para las diversas aplicaciones de correo electrónico, una vez hecho esto, es posible que encuentres información detallada sobre la ruta que tomó el correo sospechoso para llegar a la bandeja de entrada de la víctima. Si te preguntas si es posible hacer este tipo de investigación a nivel personal, la respuesta es afirmativa, pero debes comenzar observando los detalles ocultos, tales como:

  • Si la ID del correo “From” y la ID de correo electrónico “Path of return” coinciden.
  • También puedes comprobar si la ID de un correo de “reply to” es la misma que la ID del correo “from”.
  • Si la “distribución X” es voluminosa, esto es un indicador de spam.
  • X-spam Score y X-Spam Flag son herramientas que ayudan a determinar si estás lidiando con un correo electrónico no deseado.

Los expertos forenses cibernéticos utilizan esta información en sus investigaciones de correo para rastrear a los culpables de múltiples ataques en línea.

Según el Grupo de Análisis de Amenazas (TAG) de Google, en el año 2021 se enviaron alrededor de 50.000 alertas a los clientes afectados, cada vez que se detectaba algún tipo de ataque en línea, incluidos los ataques por correo electrónico.

Investigación de un servidor de correo electrónico

Los especialistas forenses constantemente están implementando técnicas de investigación para los servidores de correo electrónico y así poder rastrear los orígenes de los mensajes, si el remitente o el destinatario han eliminado el mensaje de correo, los investigadores pueden regurgitar en el proveedor de servicios de Internet (ISP) o en los servidores proxy para encontrar una copia guardada del mensaje; los servidores proxy son portales de enlace que hacen de intermediario entre el usuario final y el dominio del sitio web.

Además, los servidores ISP y de proxy pueden revelar información sobre la dirección usada por el dispositivo del remitente, lo cual acelera el proceso de investigación forense del correo que causa problemas.

Durante una investigación concerniente a la seguridad de un correo electrónico, siempre es recomendable empezar con una inspección de los registros lo antes posible, ya que los ISP archivan con frecuencia los Protocolos de transferencia de hipertexto (HTTP) y los Protocolos simples de transferencia de correo (SMTP).

SMTP es un protocolo de mensajería común, que sirve como fundación para protocolos más modernos, así que mientras más tardes en empezar el proceso de búsqueda, más tiempo y esfuerzo necesitarás para obtener la información necesaria para seguir con el curso de tu investigación.

Investigación de dispositivos de red

A veces, los registros mencionados anteriormente no están disponibles, lo cual generalmente se debe a una falta de configuración o a la denegación de compartir archivos de registro. Si te encuentras en esta situación, tu grupo de expertos cibernéticos forenses pueden verificar los datos mantenidos por los dispositivos de red, tales como los conmutadores y los enrutadores.

Huellas dactilares del remitente

Además de los encabezados “asunto”, “de:” y “para:”, los correos electrónicos contienen encabezados X, los cuales pueden ser usados por especialistas para rastrear información y localizar la dirección IP del dispositivo usado por el remitente.

Durante la investigación de seguridad de un correo electrónico, el método de huellas dactilares del remitente identifica el software del remitente y la versión que ha utilizado, por ejemplo, Gmail, Outlook, Hotmail, entre otros. 

Identificadores integrados de software

El software del remitente siempre contiene información adicional sobre el mensaje y los archivos adjuntos contenidos en este, lo cual es crucial para el proceso de investigación, ya que los programas de software usados para crear un mensaje o archivo capturan esta información, por ejemplo, Microsoft Word o Adobe Photoshop siempre dejan rastros de uso que permiten identificar la versión usada o incluso la locación.

Si consigues que estás interesado en aprender a investigar correos de phishing, puedes encontrar más detalles en los encabezados personalizados o en el contenido de las Extensiones de Correo de Internet con Multipropósito (MIME) en Formato de Encapsulación Neutral para el Transporte (TNEF).

MIME es un estándar de Internet implementado para ayudar en la transferencia de texto o archivos adjuntos que no son de texto. TNEF es un formato exclusivo y no compartido para archivos adjuntos de correo que utilizan Microsoft Outlook y Microsoft Exchange Server.

Pensamientos finales

Con el constante aumento de los casos de spam, phishing, robos de identidad y otros delitos informáticos, las empresas de todos los tamaños se están viendo obligadas a invertir mucho más en seguridad cibernética. Las investigaciones del correo electrónico es una parte de esa serie de procesos que están involucrados en la identificación de los culpables de cualquier delito en línea relacionado al uso de correos electrónicos.

La situación geopolítica mundial también ha impactado el lado digital de los negocios, de acuerdo a Forbes, los ataques en línea de origen ruso aumentaron un 800% solo en las primeras 48 horas posteriores al primer ataque a Ucrania.

Las técnicas compartidas anteriormente podrían asustar a un principiante, aun así, los nerds del correo electrónico en EasyDMARC siempre están listos para responder a todas tus preguntas.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF, DKIM y DMARC son los tres protocolos de autenticación de correo electrónico más...

Read More
Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Todo el mundo está de acuerdo en que el correo electrónico se ha convertido...

Read More
Siete ejemplos de ataques de Spear Phishing

Siete ejemplos de ataques de Spear Phishing

El año 2022 aún no ha terminado, pero ya se han reportado más de...

Read More