¿Qué es EchoSpoofing? Entender los exploits de enrutamiento de correo electrónico
por
Tiempo de lectura: 4 min
No es ningún secreto que la autenticación del correo electrónico puede ser bastante vulnerable. Esto es especialmente cierto cuando los correos electrónicos se reenvían con cabeceras modificadas, líneas de asunto cambiadas o archivos adjuntos eliminados. Estos pequeños cambios pueden poner en peligro la firma DKIM.
Se han introducido varias puertas de enlace de correo electrónico seguro (SEG) para resolver este problema. Estas SEG pueden resolver los problemas de autenticación de correos electrónicos alterados reautenticándolos. Aunque este método es suficientemente bueno para mitigar los fallos de autenticación, plantea nuevos riesgos.
Por desgracia, en marzo de 2024 se detectó una vulnerabilidad en el servicio de retransmisión de correo electrónico de Proofpoint. Ha permitido a varios actores maliciosos explotar un ajuste de configuración. Este fallo de enrutamiento de correo electrónico permitió a los atacantes enviar millones de mensajes falsos.
En este artículo, aprenderá todo sobre EchoSpoofing y el reciente exploit de enrutamiento de correo electrónico.
Puntos clave
- Las vulnerabilidades de autenticación del correo electrónico pueden verse agravadas por fallos de configuración en los servicios de retransmisión de correo electrónico.
- La técnica EchoSpoofing permite a los atacantes explotar servicios de correo electrónico de confianza para enviar mensajes falsos.
- Un reciente problema de configuración de los sistemas de retransmisión de correo electrónico permitió a agentes malintencionados suplantar dominios legítimos sin los filtros adecuados.
- Incluso con las medidas de seguridad implantadas, las organizaciones deben permanecer vigilantes ante la evolución de las amenazas basadas en el correo electrónico.
- La aplicación de políticas DMARC estrictas puede ayudar a evitar la suplantación de dominios y mejorar la seguridad del correo electrónico.
Entender el exploit de enrutamiento de correo electrónico
Los actores maliciosos encontraron una manera de explotar una vulnerabilidad en los servicios de retransmisión de correo electrónico, un ajuste de configuración que acepta correos electrónicos de cualquier inquilino de Microsoft 365. Tras recibir estos correos electrónicos, se vuelven a autenticar añadiendo una firma DKIM nueva y válida.
El fallo en los ajustes de configuración permite a los autores falsificar cualquier nombre de dominio. Esto les permite enviar correos electrónicos que parecen proceder de fuentes legítimas, en una serie de campañas de phishing denominadas "EchoSpoofing".
¡Protéjase contra el EchoSpoofing con PowerDMARC!
¿Qué es EchoSpoofing?
El exploit ha sido bautizado como "EchoSpoofing" por Gaurdio Labs. Se trata de una técnica mediante la cual los atacantes envían correos electrónicos desde servidores SMTP. Estos servidores SMTP están alojados en Servidores Privados Virtuales (VPS), y los mensajes enviados pasan fácilmente las comprobaciones de autenticación de correo electrónico, incluyendo SPF y DKIM. Estos correos de EchoSpoofing imitan correos legítimos de remitentes de confianza.
Microsoft 365 permite enviar correos electrónicos desde cualquier dominio elegido por el usuario. Aunque es conocido por permitir el envío de correos electrónicos incluso desde inquilinos sospechosos, los hackers del exploit EchoSpoofing utilizaron este fallo para enviar mensajes desde inquilinos de Office 365 controlados por los atacantes. Por ejemplo, los clientes de Proofpoint que autorizaban a Microsoft 365 como remitente legítimo se metían inadvertidamente en problemas. Estos inquilinos de Office 365 controlados por atacantes obtuvieron un pase libre para retransmitir los mensajes de correo electrónico de EchoSpoofing a través de su servicio de retransmisión con una etiqueta de autenticación y firmas DKIM válidas.
Consecuencias del EchoSpoofing
Si eres usuario de Microsoft 365 y utilizas Secure Email Gateways para bloquear correos electrónicos maliciosos a través de un sistema de retransmisión, debes tener cuidado, ya que cualquier otro inquilino de Microsoft 365 puede suplantar tu dominio. Como la mayoría de estas SEG no pueden filtrar explícitamente a los inquilinos específicos de Office 365 y los autoriza a todos, si ha definido Microsoft como remitente legítimo, los actores maliciosos pueden suplantar fácilmente su dominio para enviar correos electrónicos de suplantación de identidad.
Los correos electrónicos falsos enviados a través de este sistema no se marcan como sospechosos, ni siquiera pasan la comprobación DMARC. comprobación DMARCy llegan directamente a la bandeja de entrada del destinatario.
La magnitud de la explotación
Los ataques tuvieron un alcance significativamente amplio.
Empresas destinatarias
El nuevo método de "Ecospoofing" tenía como objetivo varias marcas conocidas. Entre ellas figuran Nike, IBM, Walt Disney y Best Buy, entre otras.
Estrategias de respuesta y mitigación
Una vez detectado el problema, se publicaron rápidamente varias medidas para contrarrestar esta vulnerabilidad. Entre ellas, se permitió a los clientes especificar los inquilinos permitidos de Microsoft 365. También se aseguró a los clientes que, aunque todos los sistemas de enrutamiento de correo electrónico son vulnerables en cierta medida, los datos de los clientes no se vieron expuestos ni comprometidos durante los ataques.
Seguridad del correo electrónico con PowerDMARC
La avanzada plataforma de autenticación de correo electrónico basada en IA de PowerDMARC ofrece seguridad y visibilidad en lo que respecta a la mayoría de las amenazas y exploits basados en el correo electrónico. Nuestra tecnología de inteligencia de amenazas es experta en realizar predicciones basadas en datos sobre patrones y tendencias de amenazas, con un equipo de expertos que le guiarán para reforzar su postura de autenticación del correo electrónico.
Las detalladas API de PowerDMARC permiten a los clientes integrar perfectamente nuestra plataforma con sus sistemas de seguridad existentes, ¡lo que proporciona una mayor seguridad!
Además, ayudamos a los propietarios de dominios a aplicar políticas DMARC como "rechazar", lo que les permite combatir eficazmente los ataques de suplantación de identidad.
Palabras finales
El exploit EchoSpoofing pone de manifiesto una importante vulnerabilidad en los sistemas de enrutamiento de correo electrónico, demostrando que incluso las soluciones de seguridad de confianza pueden tener puntos ciegos.
Los atacantes no son nuevos en aprovechar las configuraciones erróneas de los sistemas de correo electrónico para eludir las comprobaciones de autenticación, lanzando campañas de phishing generalizadas. Aunque se han tomado medidas correctoras, este incidente subraya la importancia de una seguridad proactiva del correo electrónico a cargo de un equipo de expertos.
Para explorar estrategias de protección para su nombre de dominio y aplicar correctamente la autenticación de su correo electrónico - póngase en contacto hoy mismo para hablar con uno de nuestros expertos profesionales.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Microsoft refuerza las reglas de remitentes de correo electrónico: Actualizaciones clave que no debe perderse - 3 de abril de 2025
- Configuración de DKIM: Guía paso a paso para configurar DKIM para la seguridad del correo electrónico (2025) - 31 de marzo de 2025
- PowerDMARC reconocido como líder de red para DMARC en G2 Spring Reports 2025 - 26 de marzo de 2025
