¿Cómo evaluar la calidad de un email entrante?

El correo electrónico ocupa un lugar destacado en el arsenal de los ciberatacantes. El correo electrónico es un vector ideal para introducir código malicioso en un puesto de trabajo o en una empresa (virus, ransomware), o para hacer que el destinatario haga clic en un enlace a una web fraudulenta (phishing).

Para las empresas, la primera respuesta es analizar los correos electrónicos entrantes para asegurarse de que sólo se transmiten los que se consideran sanos. Pero, ¿qué criterios deben utilizarse para este filtrado?, ¿cuáles son los principales puntos de control establecidos por las herramientas de protección del correo electrónico? ¡Respuesta en este post!

A nivel de la transacción SMTP

transaction SMTP

Incluso antes de examinar el contenido de los correos electrónicos, se establece un primer conjunto de barreras de filtrado a nivel del protocolo de enrutamiento del email. He aquí la información examinada:

  • Servidor de envío: revela mucha información interesante. Empezamos por asegurarnos de que su dirección IP no está en la lista de bloqueados. También nos fijamos en el nombre de host -la forma en que se anuncia el servidor remitente- y en la dirección IP concreta. De este modo, se comprueba la coherencia entre el servidor de envío y su nombre de host. En la práctica, los controles efectuados en el servidor de envío permiten rechazar entre el 70% y el 90% del tráfico.
  • Dirección de correo electrónico remitente: se utiliza principalmente para comprobar que el dominio remitente existe realmente. Pero también se utiliza para las comprobaciones SPF (Server Policy Framework). Esta medida, muy extendida en las empresas, tiene por objeto declarar qué servidores están autorizados a enviar correo desde un dominio determinado. Es una defensa eficaz contra los ataques de suplantación de identidad y phishing (a menudo combinados). Las direcciones de sobre y cabecera también son diferentes en el caso de los correos electrónicos reenviados o los envíos masivos realizados por plataformas de emailing. Esto no significa que el correo electrónico sea fraudulento. La calidad de los controles -y de las herramientas de protección- también reside en su capacidad para discernir estos casos.
  • Destinatario: se recomienda verificar la existencia de la dirección del destinatario mediante tecnologías específicas.

A nivel de la cabecera del email

El propio correo electrónico contiene una cantidad impresionante de información, dividida entre el encabezamiento y el cuerpo. Gran parte del análisis de la calidad del correo electrónico se realiza a nivel de cabecera, con una amplia variedad de puntos de control:

  • Mail user Agent: indica desde qué aplicación cliente se envió el correo (Thunderbird, Outlook, Lotus Notes, etc.). Algunas de ellas son problemáticas porque hace tiempo que han quedado obsoletas. Un correo electrónico enviado por Outlook Express, que no se utiliza ni se actualiza mucho desde hace 15 años, suele engrosar las filas del spam.
  • Historial de seguimiento: contiene las direcciones IP de los sistemas por los que ha pasado el correo electrónico. Si algunas de estas direcciones están en la lista de dominios o IP bloqueados, esto arroja sospechas sobre el correo electrónico. Una comprobación que debe mantenerse bajo control: la información del camino puede haber sido falsificada para aparentar ser sólida.
  • Coherencia entre los datos: el análisis consiste aquí en comparar determinados datos del encabezamiento entre sí para garantizar la autenticidad de un correo electrónico. Sabemos, por ejemplo, que un email enviado desde Facebook debe tener ciertas características específicas. Si no es así, el correo electrónico es dudoso.
  • Remitente: comprobamos que no haya ninguna dirección de «reply to» corrupta o incoherente asociada al remitente, una técnica clásica de suplantación de identidad o estafa.

 

A nivel del cuerpo del email

corps email

La extracción y el análisis de determinados rastros presentes en el cuerpo del email refuerzan o reducen la confianza. Así pues, podemos examinar:

  • Los enlaces (URL) presentes en el correo electrónico: es interesante fijarse en su número, su destino, el historial de los dominios y el contenido de los sitios a los que conducen. Un dominio que acaba de ser registrado será sospechoso. Este análisis aprovecha el trabajo realizado en otro lugar sobre la detección de spam, que identifica las URL y los dominios poco fiables. Cuando el correo electrónico está en formato HTML, los enlaces que aparecen -como el famoso «haga clic aquí para acceder a la versión en línea» o «anular la suscripción»- son objeto de especial escrutinio: pueden apuntar a una URL fraudulenta.
  • Las direcciones Bitcoin se utilizan cada vez más en los intercambios electrónicos. Deben cotejarse con una base de datos de direcciones sospechosas.
  • Los archivos adjuntos: por supuesto, están controlados por programas antivirus, que deben comprobarse sistemáticamente. Pero muchos también son bloqueados por firmas, reglas estrictas establecidas en las herramientas de protección basadas en el trabajo de fondo de detección y detección preventiva de patrones de virus compartidos por la comunidad o seguidos por equipos especializados. Ciertos nombres de archivo también llaman la atención y la vigilancia, en particular dentro de archivos adjuntos del tipo «.rar», «.zip. «, por no hablar de los archivos «.pif» y «.exe
  • La ratio texto/imagen: la relación texto/imagen sigue siendo un criterio relativo en términos de seguridad, utilizado por los programas antispam para rechazar los correos electrónicos comerciales. Por otro lado, las herramientas de protección se fijan en la naturaleza, la frecuencia y el origen de las imágenes. Algunos se catalogan como recurrentes en mensajes poco fiables.

Filosofía de protección

protection email

Esta lista, lejos de ser exhaustiva, recoge algunas de las comprobaciones esenciales para evaluar la calidad (o peligrosidad) de un correo electrónico. En la práctica, las soluciones de protección del correo electrónico examinan un número mucho mayor de criterios.

Pero más allá de la batería de comprobaciones realizadas, es por su filosofía y su modo de funcionamiento por lo que se diferencian estas protecciones del correo electrónico. Algunos favorecerán los análisis previos y rechazarán muchos correos electrónicos -siempre con razón- antes de que lleguen. Otros serán menos bloqueadores a priori y dividirán los correos de baja calidad entre las carpetas de spam y cuarentena. Al final, todo depende del grado de autonomía que quieras dar al destinatario.

Por último, pero no por ello menos importante, la capacidad de reaccionar ante las amenazas emergentes. Gracias a la supervisión y el análisis constantes del tráfico, las herramientas de protección específicas pueden detectar muy rápidamente nuevas amenazas y sistematizar su detección y tratamiento. Además de las múltiples herramientas de inteligencia artificial, el tratamiento humano de las alertas por parte de expertos sigue siendo un arma esencial para reaccionar de forma inteligente y eficaz. Esta es otra razón por la que las soluciones de protección especializadas son un complemento esencial para los grandes sistemas de correo eletrónico empresarial como Exchange/Microsoft Office 365, que son menos ágiles y más generalistas en su seguridad.