A medida que las tecnologías evolucionan y se desarrollan con rapidez, también lo hacen las amenazas y los ataques virtuales. Las nuevas formas de amenazas basadas en el correo electrónico están tomando forma, con mayores grados de intensidad y escala. Un ejemplo importante de amenaza basada en el correo electrónico descubierta recientemente se destaca en un estudio detallado de Researchgate, conocido como BreakSPF, que aprovecha las vulnerabilidades existentes en uno de los protocolos de autenticación de correo electrónico más utilizados, el Sender Policy Framework (SPF). Lo especialmente preocupante de este nuevo tipo de amenaza es que puede causar daños a escala masiva y poner en peligro millones de dominios simultáneamente.
Qué es el ataque BreakSPF - El nuevo truco de los hackers
BreakSPF es un nuevo marco de ataque que elude las comprobaciones SPF para intentar suplantar el correo electrónico. Los dominios con configuraciones SPF permisivas son especialmente vulnerables a este tipo de ataque. BreakSPF se alimenta del hecho de que muchas organizaciones utilizan infraestructuras de correo electrónico compartidas, ya sean proporcionadas por proveedores de servicios de correo electrónico en la nube, proxies o redes de distribución de contenidos (CDN) con IP compartidas. Los rangos de IP ampliamente definidos en los registros SPF de estas infraestructuras de correo electrónico compartidas crean un terreno fértil para la acción de hackers y atacantes.
Ataque BreakSPF frente a otras amenazas basadas en el correo electrónico
La mayoría de los ataques tradicionales de suplantación de identidad o phishing intentan burlar la seguridad del correo electrónico mediante ingeniería social o malware. BreakSPF, por otro lado, se dirige al propio mecanismo SPF, explotando el mismo sistema diseñado para protegerle de los intentos de suplantación de identidad por correo electrónico. Dicho de otro modo, mientras que los ataques básicos y tradicionales de suplantación de identidad o phishing por correo electrónico pueden bloquearse mediante comprobaciones SPF o DKIM, en un ataque BreakSPF, los actores de la amenaza pueden eludir estas comprobaciones de verificación, permitiendo que correos electrónicos suplantados lleguen fácilmente a buzones de destinatarios desprevenidos.
Cómo funciona BreakSPF: Eludir las comprobaciones SPF
Según el ponencia de Researchgate"el 51,7% de los dominios tienen registros SPF que incluyen más de 65.536 (216) direcciones IP". Un rango tan grande no sólo es peligroso, sino también completamente innecesario, ya que la mayoría de los dominios de correo electrónico no necesitan tantas direcciones IP. Los registros SPF demasiado anidados y abrumadoramente grandes pueden llevar a una situación en la que potencialmente se excedan los límites de búsqueda SPF. Esto podría permitir a los hackers burlar los protocolos de seguridad existentes. Esto se debe a que, cuando el registro SPF es demasiado complejo y se supera el límite de búsqueda SPF, la capa protectora deja de hacer el trabajo para el que fue concebida inicialmente.
El ataque funciona de la siguiente manera: un atacante identifica un dominio popular (como example.com) que tiene una configuración SPF vulnerable, lo que significa que su registro SPF permite un amplio rango de direcciones IP. El atacante utiliza servicios públicos que proporcionan acceso a direcciones IP dentro de este rango permitido. A continuación, envía correos electrónicos falsos desde estas direcciones IP a las víctimas. Como la validación SPF comprueba la dirección IP del remitente y la considera legítima (ya que entra dentro del registro SPF del dominio), los correos electrónicos falsos pasan las comprobaciones SPF y DMARC. Como resultado, las víctimas reciben correos electrónicos de apariencia auténtica que han eludido las medidas estándar de autenticación de correo electrónico.
Los elementos clave de este ataque incluyen:
- El dominio de destino tiene un registro SPF con rangos de IP demasiado permisivos.
- El atacante controla suficiente infraestructura pública para seleccionar las direcciones IP incluidas en ese registro SPF.
- El atacante puede enviar correos electrónicos falsos sin necesidad de capacidades avanzadas como la suplantación de DNS o la modificación de entradas DNS.
Tipos de ataques BreakSPF
La transmisión de correo electrónico se produce generalmente a través de dos canales principales: Los servidores HTTP y los servidores SMTP. Basándose en esto, Researchgate clasifica el ataque BreakSPF en tres grupos distintos:
1. Ataques con direcciones IP fijas
En los ataques a direcciones IP fijas, los atacantes mantienen un control a largo plazo sobre direcciones IP específicas. Actuando como agentes de transferencia de correo (MTA), envían mensajes maliciosos falsos directamente al servicio de correo electrónico de la víctima. Estos ataques suelen hacer uso de infraestructuras compartidas, como servidores en la nube y servicios proxy. Los mecanismos tradicionales de defensa contra el spam, incluidas las listas grises, suelen ser ineficaces contra los ataques a direcciones IP fijas.
2. Ataques a direcciones IP dinámicas
Al utilizar este método, los atacantes no tienen control sobre las direcciones IP salientes específicas para cada conexión. Sin embargo, evalúan dinámicamente qué dominios son más vulnerables en función de la IP saliente actual y, de este modo, obtienen el control temporalmente a través de diversas funcionalidades o métodos. Como estas direcciones IP cambian constantemente, los métodos tradicionales de listas negras de IP vuelven a ser ineficaces contra los ataques de direcciones IP dinámicas. Mientras que en el método anterior, los ataques con direcciones IP fijas utilizaban servidores en la nube y servicios proxy, los ataques con direcciones IP dinámicas aprovechan la infraestructura pública (por ejemplo, funciones sin servidor, plataformas CI/CD, etc.).
3. Ataques entre protocolos
Cuando se utilizan ataques entre protocolos, los atacantes ni siquiera necesitan tener control directo sobre las direcciones IP. En su lugar, los hackers incrustan datos SMTP dentro de paquetes de datos HTTP. A continuación, reenvían estos paquetes al servicio de correo electrónico de la víctima prevista utilizando proxies HTTP y nodos de salida CDN. Cuando se dirigen a la víctima con ataques de protocolo cruzado, los hackers suelen utilizar infraestructura compartida (por ejemplo, proxies HTTP abiertos, servicios CDN, etc.). Este tipo de ataque es extremadamente difícil de detectar o rastrear, ya que se produce de forma muy intransparente.
El impacto de los ataques BreakSPF
Dominios de todo el mundo pueden ser fácilmente víctimas de ataques de phishing y exponer datos muy sensibles y confidenciales a los piratas informáticos como consecuencia de ataques BreakSPF.. Las empresas también pueden perder su reputación entre las personas que confiaban en ellas y en las comunicaciones procedentes de ellas.
Numerosas empresas de alto perfil pueden sufrir importantes pérdidas financieras, así como de cuota de mercado, debido a un empeoramiento de su reputación. Esto implica que los ataques BreakSPF pueden tener consecuencias directas e indirectas no sólo en la seguridad y privacidad de los datos, sino también en otros aspectos de una empresa como la imagen de marca, las ventas y la posición en el mercado.
Más allá del impacto a nivel micro en las organizaciones, estos ataques masivos de phishing y la suplantación de identidad en el correo electrónico erosionarán la confianza en los intercambios de correo electrónico en general, afectando a las comunicaciones personales, profesionales y empresariales. Esto incluye a las personas que dependen del correo electrónico para sus negocios paralelos, como el trabajo por cuenta propia o los negocios en línea, que dependen en gran medida de una correspondencia segura y fiable para tener éxito. Limitados por estas amenazas, los usuarios pueden verse obligados a cambiar a plataformas alternativas, alterando los marcos de comunicación establecidos y las campañas de marketing que utilizan el correo electrónico como estrategia principal.
Así pues, el impacto de los ataques BreakSPF irá más allá de cualquier área geográfica o categórica específica. Afecta a particulares y empresas que utilizan las comunicaciones por correo electrónico para diversas necesidades y fines.
Cómo prevenir el ataque BreakSPF
Hay varias medidas clave que puede tomar para evitar este tipo de ataques en su dominio y proteger su empresa y a sus empleados:
1. Reducir la complejidad de los registros SPF
Según las prácticas recomendadas de SPF, sólo debería haber un registro SPF para un dominio determinado. Lamentablemente, hoy en día es muy común que existan múltiples registros SPF complejos para un mismo dominio, ya que los propietarios de dominios no prestan suficiente atención a una gestión SPF precisa.
Esta mala práctica conduce a fallos de validación SPF, como resultado de los cuales incluso los correos electrónicos legítimos se marcan a menudo como spam. Esto perjudica a la entregabilidad del correo electrónico en su conjunto, poniendo en peligro las comunicaciones empresariales y la reputación.
2. Evite sobrepasar el límite de búsqueda de DNS del 10
"SPF Permerror: demasiadas búsquedas DNS" es el mensaje que recibirá cuando supere el límite de 10 búsquedas DNS. Permerror se trata como un fallo SPF debido a un error permanente, y a menudo puede impedir que el correo electrónico llegue a la bandeja de entrada del destinatario o marcarlo como sospechoso. Esto puede causar serios problemas con las tasas de entrega de correo electrónico.
Hay varias medidas que puede tomar para evitar sobrepasar el límite de 10 búsquedas DNS. Por ejemplo, puede eliminar las declaraciones "include" innecesarias y las IP anidadas utilizando una herramienta de aplanamiento SPF SPF.
Preferiblemente, puede optimizar su registro SPF utilizando Macros SPF. En PowerDMARC, ayudamos a nuestros clientes a conseguir un SPF sin errores con búsquedas ilimitadas en todo momento con nuestro servicio de SPF alojado alojada que aprovecha la integración de Macros.
Para obtener más información, puede consultar nuestra entrada de blog sobre los pasos necesarios para solucionar el error SPF.
3. Subsanar las deficiencias en la configuración de los protocolos
BreakSPF puede eludir la verificación SPF y DMARC. Es importante identificar y corregir cualquier laguna o configuración incorrecta en la adopción tanto de SPF como de DMARC para evitar que los atacantes eludan las comprobaciones de verificación. Tales lagunas y desconfiguraciones pueden incluir la adopción incorrecta de DMARC y SPF, la falta de actualizaciones u optimizaciones oportunas, etc.
4. Supervise sus informes DMARC
Activar los informes DMARC para sus dominios y prestarles una atención especial también puede ayudarle a detectar cualquier problema y error de configuración en los protocolos de autenticación de correo electrónico existentes. Estos informes le proporcionan una gran cantidad de información que puede conducir a la detección de direcciones IP sospechosas.
5. Aplique sus políticas DMARC
DMARC no sólo debe combinarse con SPF y DKIM, sino que también debe desplegarse con políticas estrictas como DMARC Reject para evitar políticas excesivamente permisivas. La política DMARC none no ofrece ninguna protección contra los ciberataques. Sólo debe utilizarse en la fase inicial de la autenticación del correo electrónico (es decir, la fase de supervisión).
Sin embargo, si sigue esta política más allá de la fase inicial de supervisión, podría causar graves problemas de seguridad, ya que dejará su dominio vulnerable a los ciberataques. Esto se debe a que incluso cuando DMARC falla para su correo electrónico, bajo la política de ninguno el correo electrónico seguirá siendo entregado a la bandeja de entrada del destinatario, a menudo con contenidos maliciosos.
6. Refuerzo de la gestión portuaria
Reforzar y mejorar la gestión de puertos para los servicios en la nube también ayudará a detener a los atacantes que abusan de la IP en la nube. Los servicios en la nube son una fuente habitual de ciberataques. Esto se debe a que la nube se utiliza a menudo como almacén de datos importantes y sensibles, lo que la convierte en un objetivo atractivo para los piratas informáticos. Además, los ataques a la nube también pueden dar lugar a violaciones de datos, ya que, una vez que los hackers consiguen acceder a la cuenta de la nube, pueden ver y robar inmediatamente todos los datos a la vez.
Así que, aunque tener todos sus datos en una plataforma centralizada en la nube puede tener sus ventajas, también puede ser muy peligroso para su seguridad en línea. Por ello, medidas proactivas como el cifrado de datos, la detección de intrusiones y un estricto control de acceso son de vital importancia para mejorar la seguridad de tus servicios en la nube y de tu empresa en su conjunto.
Resumen
¿Necesita ayuda y asesoramiento sobre la correcta adopción de sus protocolos de autenticación de correo electrónico? PowerDMARC está aquí para ayudarle.
El servicio SPF gestionado habitual de PowerDMARC - PowerSPF, ofrece una amplia gama de soluciones alojadas de gestión y optimización de SPF para empresas de todo el mundo, ayudándole a evitar BreakSPF y muchos otros errores y problemas relacionados con SPF. Mejore la seguridad de su dominio - póngase en contacto con PowerDMARC hoy mismo y disfrute de la tranquilidad de comunicarse digitalmente.
- Yahoo Japón obliga a los usuarios a adoptar DMARC en 2025 - 17 de enero de 2025
- La botnet MikroTik aprovecha los errores de configuración de SPF para propagar malware - 17 de enero de 2025
- El correo no autenticado DMARC está prohibido [SOLUCIONADO] - 14 de enero de 2025