DKIM2: el futuro de la seguridad del correo electrónico
por
Última actualización:
Tiempo de lectura: 5 minutos
Nota: DKIM2 se encuentra actualmente en fase de borrador en los archivos de documentos del IETF, y puede estar sujeto a cambios en el futuro.
DKIM o DomainKeys Identified Mailse publicó por primera vez en 2011, como un protocolo de autenticación de correo electrónico que ayudaba a firmar mensajes con firmas digitales para autenticar al remitente. DKIM permitía a los servidores de correo electrónico verificar que el mensaje no había sido manipulado durante su transmisión. DKIM se define en RFC 6376 como un protocolo que "permite a una persona, función u organización propietaria del dominio de firma reclamar cierta responsabilidad por un mensaje asociando el dominio al mensaje".
En 2024, DKIM podría tener un aspecto totalmente nuevo, ¡llamado DKIM2! Se espera que DKIM2 sustituya pronto al antiguo mecanismo de seguridad del correo electrónico (DKIM) por un mecanismo nuevo y actualizado para mejorar la autenticación y la seguridad.
Puntos clave
- DKIM2 pretende subsanar las deficiencias operativas del actual protocolo DKIM1, mejorando la seguridad y autenticación del correo electrónico.
- Esta versión actualizada estandarizará la firma de encabezados, reduciendo al mínimo las lagunas que pueden aprovechar los actores de amenazas.
- DKIM2 evitará la retrodispersión dirigiendo los avisos de fallo de entrega al último servidor que gestionó el correo electrónico.
- La gestión de errores mejorada y los rebotes simplificados ayudarán a proteger la privacidad de los destinatarios y a agilizar la gestión del correo electrónico.
- Al admitir varios algoritmos criptográficos, DKIM2 ofrece protección frente a la evolución de las amenazas a la seguridad.
La necesidad de sustituir DKIM
El mecanismo naciente de DKIM (DKIM1) se esbozó por primera vez en RFC 4871y se publicó en el año 2007. Desde entonces, a lo largo de los años, se han descubierto varias debilidades operativas:
1. Cuestión de la modificación del intermediario
En varios casos de reenvío de correo electrónicolos servidores intermediarios a menudo se toman la libertad de modificar un correo electrónico legítimo añadiendo pies de página adicionales o realizando modificaciones en la firma. Esto hace que la firma DKIM1 original no sea verificable, lo que provoca fallos DKIM no deseados. Los correos electrónicos afectados pueden ser potencialmente marcados como spam, a pesar de ser legítimos.
2. Daño a la reputación mediante ataques de repetición
En un ataque de repetición DKIMun actor de amenazas reenvía un correo electrónico que originalmente fue autenticado y firmado con una firma DKIM, haciéndolo pasar por un mensaje nuevo y auténtico. Sin embargo, el mensaje puede haber sido alterado y ser ahora potencialmente dañino. En resumen, los actores maliciosos pueden "reproducir" correos electrónicos firmados con DKIM, dañando la reputación de los firmantes legítimos.
3. Falta de información normalizada
Existen ciertos mecanismos informales de retroalimentación creados por algunos sistemas para notificar a los remitentes de correo electrónico el rendimiento de sus mensajes firmados con DKIM. Estos circuitos de retroalimentación ayudan a los remitentes a saber si sus mensajes se entregan correctamente o se marcan como problemáticos. Sin embargo, actualmente no existen normas oficiales sobre el funcionamiento de estos sistemas de retroalimentación. Esta falta de estandarización puede hacer que se envíen comentarios innecesarios o inútiles.
4. Problema de la retrodispersión
Si alguien falsifica el remitente de un correo electrónico (falsifica el origen) y éste no puede entregarse, el sistema suele enviar un "aviso de fallo". Este aviso se denomina Notificación de Estado de Entrega, o DSN. El aviso llega a la víctima desprevenida cuyo dominio fue falsificado. Esto significa que una persona inocente, que no tenía nada que ver con el correo electrónico, recibe una notificación confusa o no deseada. Este fenómeno se conoce como backscatter.
¡Simplifique DKIM2 con PowerDMARC!
¿Qué es DKIM2?
Se prevé que DKIM2 sea la próxima versión actualizada de DKIM1, destinada a corregir las deficiencias de la versión anterior, como la vulnerabilidad a los ataques de repetición, los problemas con el reenvío de correo, y a proporcionar criptografía mejorada para una mejor autenticación y protección posterior.
También se espera que DKIM2 resuelva los problemas de firma de encabezados, evite la retrodispersión y admita múltiples algoritmos criptográficos para facilitar la migración de una versión algorítmica obsoleta a otra nueva.
¿En qué puede beneficiar DKIM2 a las empresas?
DKIM2 puede superar las capacidades de DKIM1 al proporcionar las siguientes ventajas clave:
Firma normalizada de cabeceras
Mientras que DKIM1 a veces firma las cabeceras parcialmente, dejando lagunas inseguras que pueden aprovechar los actores de amenazas, DKIM2 estandarizará qué cabeceras deben firmarse. Esto reducirá la confusión y garantizará que todas las cabeceras importantes estén firmadas y protegidas de forma coherente.
Prevención de retrodispersión
El problema de que DKIM1 cause retrodispersión se explicó en la sección anterior. DKIM2 permitirá que DSN se envíe al servidor que gestionó por última vez el correo electrónico, evitando confusiones a terceros inocentes.
Tratamiento de errores simplificado
DKIM2 aumenta la seguridad y eficacia del correo electrónico al mejorar la gestión de los mensajes devueltos y los errores. Garantiza que los mensajes rebotados sigan la ruta correcta, protegiendo la privacidad del destinatario y ayudando a los intermediarios, como proveedores de servicios de correo electrónico y listas de correo, a rastrear y gestionar fácilmente los problemas de entrega. Además, DKIM2 permite a las listas de correo y pasarelas de seguridad registrar y revertir los cambios que realizan, simplificando la verificación y detectando intentos de manipulación.
Ataques de repetición DKIM
Ya sabemos que un correo electrónico válido firmado con DKIM puede reenviarse, es decir, "reproducirse" a muchos destinatarios sin ser detectado. Es posible que DKIM2 solucione finalmente este problema introduciendo marcas de tiempo y cabeceras específicas para cada destinatario, lo que facilitará la detección y prevención de los ataques de repetición de correo electrónico. Además, también reconocerá los mensajes duplicados, rastreando al responsable.
Destreza algorítmica
DKIM2 será compatible con una amplia gama de algoritmos criptográficos, como RSA, curva elíptica y, posiblemente, post-cuántico. Esto garantizará la flexibilidad y la seguridad de cara al futuro. El lado positivo de admitir una gama tan diversa de algoritmos es que, si uno anterior queda obsoleto, la migración será fácil.
La documentación del IETF explica que, en caso de que durante el proceso de análisis criptográfico un algoritmo quede obsoleto o falle, el otro debería pasar. Para que esto sea posible, los desarrolladores de DKIM2 están adoptando un enfoque gradual para pasar de algoritmos potencialmente obsoletos mediante la inclusión de más de una firma en un único encabezado de firma DKIM2. Los sistemas que admitan el análisis de ambas firmas DKIM2 exigirán que ambas sean válidas y correctas, de lo contrario el correo será rechazado.
Minimizar los criptocálculos
Se prevé que DKIM2 simplifique y minimice la cantidad de cálculos criptográficos necesarios para verificar la autenticidad del contenido de los mensajes durante las comprobaciones DKIM. Los principales proveedores de buzones de correo tienen un gran número de firmas DKIM anexadas a los mensajes entrantes. Durante el criptoanálisis, DKIM2 sólo comprobará la primera firma DKIM2 en caso de que el mensaje no haya sido alterado por ningún intermediario, mientras que actualmente, DKIM1 comprueba todas las firmas DKIM. Esto introducirá un proceso más eficaz y rápido para los cálculos criptográficos.
Resumen
Para resumir los puntos clave del borrador del IETF, el protocolo DKIM2 pretende evitar varios inconvenientes de la versión actual del protocolo DKIM1, haciendo que la gestión de firmas sea sencilla, segura y más eficaz. También se espera que mejore las capacidades de información y estandarice los circuitos de retroalimentación, ayudando a las empresas a estar más informadas que nunca. Esperemos que pronto se produzca el lanzamiento oficial, para que las empresas puedan sacar el máximo partido de su autenticación DKIM.
Para obtener asistencia sobre la implantación de DKIM y la gestión de claves, póngase en contacto con nosotros¡!
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- DMARCbis explicado: qué va a cambiar y cómo prepararse - 16 de abril de 2026
- El formato del número de serie de SOA no es válido: causas y cómo solucionarlo - 13 de abril de 2026
- Cómo enviar correos electrónicos seguros en Gmail: guía paso a paso - 7 de abril de 2026
