El 99% de las direcciones de Internet no tienen filtros que evitarían ciberataques

Un hacker español inicia un análisis masivo a los dominios de internet para comprobar si tienen unos filtros activados que evitarían la mayoría de suplantaciones y phishing: el 99% de la muestra analizada es vulnerable.

De momento ha podido analizar cerca de 40 millones de dominios, y menos de 50.000 de ellos tienen los filtros SPF, DKIM y DMARC activados.

Estos filtros son los que ayudan a que suplantar un dominio sea más difícil, una táctica muy empleada por los ciberdelincuentes para realizar ataques por correo aprovechándose del phishing o del spoofing y la inocencia de muchos trabajadores poco formados en seguridad informática.

El phishing es una de las puertas de entrada más comunes por la que los ciberdelincuentes son capaces de atacar empresas privadas y administraciones públicas. Los expertos insisten desde hace años en que los trabajadores son el eslabón "más débil" en la cadena de la ciberseguridad. Algunos profesionales del Instituto Nacional de Ciberseguridad prefieren plantear que los empleados son el eslabón más "importante".

Lo cierto es que, efectivamente, los profesionales son la primera línea de defensa de las organizaciones frente a ciberataques. Por más soluciones de seguridad informática que apliquen sus responsables —perimetrar sus sistemas, escalar y fragmentar privilegios, aplicar la doble autenticación—, si un usuario entrega su contraseña en un correo suplantado o si se descarga un malware pensando que es una carta de un superior, todo saltará igualmente por los aires.

Pero esta problemática no se puede zanjar descargando toda la responsabilidad únicamente en los empleados. Al menos eso piensa Marc Almeida, un profesional de la programación y un apasionado de la ciberseguridad que reside en Salou, Cataluña.

Almeida —Cibernicola, en redes sociales— ya llamó la atención de buena parte de la comunidad de la seguridad informática española hace unos meses cuando presentó los avances y las ambiciones que traían su proyecto Obelix Teh Honeypot, un sistema de 'sondas' capaces de detectar ataques en tiempo real en el ciberespacio. Estas sondas se camuflan en la red como si fuesen dispositivos o servidores abandonados, a expensas de los ataques de enjambres de bots.

Con Obelix, Marc Almeida pudo empezar a dibujar algunos famosos pew pew maps, una socarrona forma que tiene el argot de la ciberseguridad para referirse a los habituales mapas del mundo con el que las compañías de ciberseguridad tratan de impresionar a sus clientes. Pero sobre todo, y lo más importante: con Obelix, Almeida pudo empezar a hacerse nuevas preguntas.

Marc lleva 20 años trabajando en el sector técnico y siempre ha mantenido un perfil discreto. Quiere huir del vendehumismo y es consciente de que en el sector "todo es muy complicado". Pero dado que en los últimos meses se han registrado diversas suplantaciones con phishing —en las últimas semanas, al Ministerio de Trabajo o a Correos—, este especialista se plantea una cosa. "Hablemos de los problemas en su origen".

'Spoofing', el fenómeno detrás de muchas estafas e incidentes

Mientras que el phishing es un intento fraudulento de hacer creer a una víctima que está recibiendo y tratando un correo electrónico genuino, el spoofing va un paso más allá. Supone, de facto, la suplantación de una identidad en la red con fines espúreos.

El phishing, por un lado, puede ser un correo electrónico que recibas supuestamente de la Dirección General de Tráfico. La DGT no va a enviarte nunca un correo electrónico a altas horas de la noche recordándote ninguna supuesta multa impagada. Y menos te va a decir que para abrir la información sobre la penalización vas a tener que usar un sistema operativo Windows, como es el caso.

Este tipo de correos llegan además de emisores con direcciones de correo falsas. Por ejemplo, @interior.gov. Los correos del Gobierno de España usan los dominios .gob, con 'b'.

Pero, ¿qué ocurre si un ciberdelincuente está enviando emails desde una dirección aparentemente real del Gobierno de España? Lo que está haciendo ese ciberdelincuente es aprovecharse de un dominio mal configurado.

Aquí, Marc Almeida pone el dedo en la llaga.

SPF, DKIM y DMARC: protocolos tan básicos como olvidados

Si has recibido un correo procedente de una dirección aparentemente legítima y estás seguro de que es falso, es muy probable que estés ante un caso por el cual los ciberdelincuentes han conseguido aprovecharse de la vulnerabilidad de un dominio. Un dominio por lo general "aparcado" —en desuso— pero que no se ha segurizado debidamente.

Esta vulnerabilidad existe cuando los propietarios de las direcciones web no han activado de forma efectiva tres filtros esenciales en la ciberseguridad: los filtros SPDF, DKIM y DMARC.

El Instituto Nacional de Ciberseguridad abunda en un artículo publicado en su página web que el SPF es un protocolo para autenticar correos electrónicos que permite al propietario de un dominio "especificar qué servidores usará para el envío del email". El DKIM es otro protocolo que "asocia un nombre de dominio a un mensaje mediante técnicas criptográficas". Y el DMARC es "un estándar de autenticación de correos que verifica tanto SPF como DKIM".

A pesar de que resulta una obviedad para los expertos del INCIBE, una investigación del proyecto personal de Marc Almeida demuestra que menos del 2% de los dominios que ha podido analizar tienen activados estos filtros. De una muestra provisional de cerca de 40 millones de dominios.

Todo esto lo está haciendo Marc acompañado de varios de sus colaboradores. Como detalla en su propia web, el proyecto se conoce como Domain Hunter DMARC Edition, y funciona mediante un pequeño script —un código ejecutable de una categoría inferior a un programa informático— que es capaz de leer la información que extrae de los dominios que analiza para saber si tienen convenientemente configurados estos filtros que el propio INCIBE recomienda.

Marc lleva semanas trabajando con este proyecto. Tiene una base de 250 millones de dominios que consiguió adquiriéndosela a una compañía estadounidense. Es muy difícil cuantificar cuántos dominios puede haber en la red. Algunas estimaciones los elevan a los 1.200 millones.

Un análisis masivo que revela importantes agujeros de seguridad

En una conversación con Business Insider España, Marc Almeida revela que solo ha estudiado hasta ahora algo menos del 10% de toda la muestra total con la que cuenta. Es decir, de cerca de 250 millones de dominios, solo ha podido acceder a casi 40 millones. De esos 40 millones de dominios analizados, menos de 53.000 tenían bien configurados estos filtros.

En otras palabras: el 1% de los dominios de la muestra analizada por Marc cuentan con los parámetros de seguridad informática que recomiendan los expertos del INCIBE. En otras palabras: el 99% de la muestra examinada es vulnerable a técnicas de spoofing y suplantación de identidad.

De todos los dominios investigados, casi 680.000 de ellos están ligados a España. Son los dominios cuyas terminaciones son .es, .cat, .com.es, .gob.es, .eus, o .gal. De la muestra analizada hasta ahora, menos de 850 dominios —solo 850 dominios— están segurizados con los filtros anteriormente mencionados.

Con este trabajo, del que el propio Marc irá informando paulatinamente, el especialista espera "hacer una fotografía global" de este problema. "La idea es manejar mucha información, muchos datos, generar nueva información y hacerse más preguntas", reconoce.

En el ámbito de la seguridad informática, reconoce, hay "millones de frentes". "Y todos ellos son importantes". "Lo que no entiendo, y me gustaría entenderlo de forma fehaciente, es por qué esto no se está haciendo ya en todos lados".

El filtro DMARC, precisamente, es uno de los proyectos a implantar en el ámbito de la seguridad informática para este 2020 y 2021, según la consultora Gartner. Y, a tenor de lo que reflejan los primeros resultados de Domain Hunter de Marc Almeida, su implantación es prácticamente nula.

Autor: Alberto R. Aguiar
Fuente: Businessinsider.es

Suscríbete a nuestro Boletín