DKIM es un aspecto crucial de la autenticación del correo electrónico que utiliza la criptografía en forma de firmas digitales para firmar los mensajes que se envían desde un dominio. Esto, a su vez, garantiza que los correos electrónicos procedentes de una fuente autorizada no se alteren antes de llegar a su destinatario, mitigando así las amenazas de suplantación de identidad.
En un ataque de repetición DKIM, un atacante intercepta un mensaje de correo electrónico legítimo firmado DKIM y luego lo reenvía al destinatario previsto o a un objetivo diferente varias veces sin realizar ningún cambio en el contenido del mensaje o la firma. El objetivo de este ataque es aprovecharse de la confianza establecida por la firma DKIM para hacer creer al destinatario que está recibiendo varias copias del mismo mensaje legítimo.
¿Qué es un ataque de repetición DKIM?
Un ataque de repetición DKIM es un ciberataque en el que un actor de la amenaza intercepta un mensaje de correo electrónico firmado y fiable mediante DKIM y, a continuación, lo reenvía o "replica" para hacer creer al destinatario que se trata de un mensaje nuevo y fiable, aunque pueda estar alterado o ser dañino.
Antes de desglosar la anatomía de un ataque de repetición DKIM y discutir las estrategias de mitigación, vamos a discutir cómo funciona DKIM:
¿Cómo autentifica DKIM los correos electrónicos?
DKIM (DomainKeys Identified Mail) es un método de autenticación de correo electrónico que ayuda a verificar la autenticidad de los mensajes de correo electrónico y a detectar intentos de suplantación de identidad y phishing. DKIM añade una firma digital al mensaje de correo electrónico en el servidor de envío, y esta firma puede ser verificada por el servidor de correo electrónico del destinatario para garantizar que el mensaje no ha sido manipulado durante el tránsito.
DKIM funciona aprovechando los siguientes procesos:
1. Firma de mensajes: Cuando se envía un correo electrónico desde un dominio que utiliza DKIM, el servidor de correo remitente genera una firma criptográfica única para el mensaje. Esta firma se basa en el contenido del correo electrónico (cabecera y cuerpo) y en algunos campos específicos de la cabecera, como la dirección "De" y el campo "Fecha". El proceso de firma suele implicar el uso de una clave privada.
2. Publicación de clave pública: El dominio remitente publica una clave pública DKIM en sus registros DNS (Domain Name System). Esta clave pública es utilizada por el servidor de correo electrónico del destinatario para verificar la firma.
3. Transmisión de mensajes: El mensaje de correo electrónico, que ahora contiene la firma DKIM, se transmite por Internet al servidor de correo electrónico del destinatario.
4. Verificación: Cuando el servidor de correo electrónico del destinatario recibe el mensaje, recupera la firma DKIM de las cabeceras del mensaje y busca la clave DKIM pública del remitente en los registros DNS del dominio del remitente.
Si la firma coincide con el contenido del correo electrónico, el destinatario puede estar razonablemente seguro de que el mensaje no ha sido manipulado durante el transporte y que procede realmente del dominio del remitente declarado.
5. Aprobado o suspenso: En función del resultado del proceso de verificación, el servidor del destinatario puede marcar el correo electrónico como DKIM verificado o DKIM fallido.
DKIM ayuda a prevenir varios ataques basados en el correo electrónico, como el phishing y la suplantación de identidad, proporcionando un mecanismo para verificar la autenticidad del dominio del remitente.
¿Cómo funcionan los ataques de repetición DKIM?
En un ataque de repetición DKIM, las personas malintencionadas pueden utilizar la indulgencia de las firmas DKIM para engañar a los destinatarios de correo electrónico y, potencialmente, difundir contenidos dañinos o estafas.
Veamos paso a paso cómo funciona un ataque de repetición DKIM:
Flexibilidad de la firma DKIM
DKIM permite que el dominio de la firma (el dominio que firma el correo electrónico) sea diferente del dominio mencionado en la cabecera "De" del correo electrónico. Esto significa que aunque un correo electrónico afirme proceder de un dominio concreto en la cabecera "De", la firma DKIM puede estar asociada a un dominio diferente.
Verificación DKIM
Cuando el servidor de un destinatario de correo electrónico recibe un mensaje con una firma DKIM, comprueba la firma para asegurarse de que el mensaje no ha sido alterado desde que fue firmado por los servidores de correo del dominio. Si la firma DKIM es válida, confirma que el correo electrónico ha pasado por los servidores de correo del dominio firmante y no ha sido manipulado durante el tránsito.
Explotación de dominios de gran reputación
Aquí es donde entra en juego el ataque. Si un atacante consigue apoderarse o piratear un buzón, o crear un buzón con un dominio que goza de gran reputación (lo que significa que es una fuente de confianza a los ojos de los servidores de correo electrónico), aprovecha la reputación del dominio en su beneficio.
Envío del correo electrónico inicial
El atacante envía un único correo electrónico desde su dominio de alta reputación a otro buzón que controla. Este correo electrónico inicial podría ser inofensivo o incluso legítimo para evitar sospechas.
Redifusión
Ahora, el atacante puede utilizar el correo electrónico grabado para retransmitir el mismo mensaje a un conjunto diferente de destinatarios, a menudo aquellos a los que no iba dirigido originalmente el remitente legítimo. Como el correo electrónico tiene su firma DKIM intacta del dominio de alta reputación, es más probable que los servidores de correo electrónico confíen en él, pensando que se trata de un mensaje legítimo, con lo que se saltan los filtros de autenticación.
Pasos para evitar ataques de repetición DKIM
Estrategias de prevención de ataques de repetición DKIM para remitentes de correo electrónico:
1. Cabeceras con sobrefirma
Para garantizar que las cabeceras clave como Fecha, Asunto, De, Para y CC no puedan añadirse o modificarse después de la firma, considere la posibilidad de sobrefirmarlas. Esta salvaguarda impide que agentes maliciosos manipulen estos componentes críticos de los mensajes.
2. Establecer plazos de vencimiento cortos (x=)
Implemente un tiempo de expiración (x=) tan breve como sea posible. Esto reduce la ventana de oportunidad para los ataques de repetición. Los dominios recién creados deben tener un tiempo de expiración aún más corto que los antiguos, ya que son más vulnerables a los ataques.
3. Utilización de marcas de tiempo (t=) y nonces
Para evitar aún más los ataques de repetición, incluya marcas de tiempo y nonces (números aleatorios) en las cabeceras o el cuerpo del correo electrónico. Esto dificulta a los atacantes reenviar el mismo correo electrónico más tarde, ya que los valores habrían cambiado.
4. Rotación periódica de las claves DKIM
Rote las claves DKIM con regularidad y actualice sus registros DNS en consecuencia. Esto minimiza la exposición de claves de larga duración que podrían ser comprometidas y utilizadas en ataques de repetición.
Estrategias de prevención de ataques de repetición DKIM para receptores de correo electrónico:
1. Aplicación de la limitación de velocidad
Los receptores pueden implementar la limitación de velocidad en los mensajes de correo electrónico entrantes para evitar que los atacantes inunden su sistema con correos electrónicos reproducidos. Para ello, puede establecer límites en el número de mensajes de correo electrónico aceptados de un remitente específico en un plazo determinado.
2. Educar a los destinatarios del correo electrónico
Eduque a sus destinatarios de correo electrónico sobre la importancia de DKIM y anímeles a verificar las firmas DKIM en los correos electrónicos entrantes. Esto puede ayudar a reducir el impacto de cualquier posible ataque de repetición en sus destinatarios.
3. Medidas de seguridad de la red
Implemente medidas de seguridad de red para detectar y bloquear el tráfico procedente de direcciones IP y fuentes maliciosas conocidas que puedan estar implicadas en ataques de repetición.
Cómo PowerDMARC ayuda a mitigar los ataques de repetición DKIM
Para que la gestión de claves DKIM resulte fácil y sin esfuerzo para los propietarios de dominios, hemos introducido nuestra completa solución DKIM alojado alojada. Le ayudamos a supervisar sus flujos de correo electrónico y sus prácticas de firma DKIM para que pueda detectar rápidamente las discrepancias, manteniéndose siempre un paso por delante de los atacantes.
La optimización de registros en nuestro panel de control es automática sin necesidad de acceder varias veces a sus DNS para realizar actualizaciones manuales. Pásese a la automatización con PowerDMARC realizando cambios en sus firmas, gestionando múltiples selectores y rotando sus claves DKIM sin la molestia del trabajo manual. Regístrese hoy mismo para realizar una prueba gratuita¡!
