Configuraciones incorrectas de DMARC:

Configuraciones incorrectas de DMARC:

Grupos de Corea del Norte explotan esa vulnerabilidad.

En el mundo de la seguridad de correo electrónico, nada es infalible, especialmente cuando las configuraciones incorrectas abren la puerta a los ataques. Recientemente, un grupo de ciberdelincuencia norcoreano conocido como Kimsuky ha demostrado lo peligrosas que pueden ser estas vulnerabilidades, utilizando políticas de autenticación, informes y conformidad de mensajes basadas en dominios (DMARC) mal configuradas para ejecutar campañas de phishing selectivo. Esto no es solo una preocupación geopolítica; es un recordatorio de que las fallas de seguridad del correo electrónico por pequeñas que sean pueden ser explotadas por cualquier persona con intenciones maliciosas.

¿Qué fue lo que sucedió?

Kimsuky es un grupo de amenazas persistentes avanzadas (APT) que actúa bajo la supervisión de la Oficina General de Reconocimiento de Corea del Norte. Este grupo de atacantes ha esta apuntado a expertos en centros de investigación, medios de comunicación y el mundo académico para recopilar información.

¿Cuál fue la estrategia que utilizaron?

Falsificar dominios legítimos eludiendo protocolos DMARC débiles o mal configurados. El FBI y la NSA emitieron una advertencia conjunta sobre estas campañas, que están diseñadas para extraer información sensible, en particular sobre la política exterior y asuntos nucleares.

¿Cuál es la importancia del DMARC?

Se supone que DMARC protege contra este tipo de ataques basados en correo electrónico. Funciona verificando la autenticidad de los correos electrónicos mediante comprobaciones SPF (Sender Policy Framework) y DKIM (DomainsKeys Identified Mail). Si un correo electrónico no supera estas comprobaciones DMARC le indica al servidor de correo electrónico que hacer a continuación: poner en cuarentena, rechazar o pasar el correo electrónico según la política establecida.

Lamentablemente, DMARC solo puede hacer su trabajo si esta configurado correctamente. Muchas organizaciones establecen políticas DMARC débiles o incompletas, lo que permite que se cuelen correos electrónicos maliciosos. En el caso de Kimsuky, los atacantes utilizaron correos electrónicos falsos que parecían reales y que pasaron las comprobaciones iniciales, pero DMARC no estaba configurado para filtrar o bloquear estos intentos, por lo que el resultado fue que los correos electrónicos maliciosos llegaran directamente a la bandeja de entrada.

El ataque en acción.

El ataque funciona de la siguiente manera.

Kimsuky comienza con un correo electrónico de una fuente aparentemente creíble, como podría ser una universidad o un instituto de investigación. El primer correo electrónico puede parece “inofensivo”, diseñado para genera una confianza. Una vez que se establece esa confianza llega un segundo correo electrónico con un archivo adjunto o un enlace malicioso. En algunos casos, los atacantes incluso logran acceder al sistema de correos electrónicos legítimos, lo que hace que sus intentos de Phishing sean aún más convincentes.

Ejemplo.

Un correo electrónico de Phishing selectivo que invita a un objetivo a hablar en una conferencia sobre políticas de Corea del Norte. El correo electrónico paso las comprobaciones realizadas por SPF y DKIM porque los atacantes tenían acceso al sistema legitimo. Pero DMARC no estaba configurado correctamente, por lo que, a pesar de algunas señales de alerta, el correo electrónico se envió.

El peligro de las configuraciones incorrectas

Las configuraciones incorrectas son comunes y peligrosas, lo que hace que esto sea particularmente preocupante es que las configuraciones incorrectas de DMARC son mas comunes de lo que se cree.

Muchas organizaciones no actualizan ni controlan regularmente sus configuraciones de DMARC. Algunas ni siquiera tienen una, lo que las deja muy expuestas a ataques. Incluso cuando la tienen, es demasiado común una política de “control” (que registra las amenazas sin tomar medidas). Esto les da a las organizaciones una falsa sensación de seguridad y permite que los correos electrónicos maliciosos pasen desapercibidos

Estrategia de Defensa

Para poder hacer frente a las múltiples amenazas que se encuentran en nuestros entornos debemos contar con una estrategia de múltiples capas:

Contar con su DMARC es sumamente importante, sumado a una correcta configuración de política para “poner en cuarentena” o “rechazar” los correos electrónicos que no superen las comprobaciones SPF y DKIM. Una política de “monitoreo” puede parecer un primer paso seguro, pero si no funciona correctamente, se mantendrá expuesto.

Invierta en soluciones impulsadas por IA. Las amenazas de correo electrónico son cada vez más sofisticadas y es posible que DMARC por si solo no sea suficiente. Las soluciones de protección de correo electrónico impulsadas por IA pueden detectar patrones de correo electrónico inusuales y comportamientos sospechosos, incluso cuando parecen pasar comprobaciones tradicionales.

Capacite a su equipo: los humanos suelen ser el eslabón más débil de la cadena de seguridad. Las simulaciones y la capacitación periódica de Phishing pueden reducir significativamente el riesgo de que alguien haga clic en un correo electrónico malicioso. La protección contra el phishing y la suplantación de identidad pueden ayudar a sus empleados a reconocer señales de alerta antes de que sea demasiado tarde.

Acércate a nosotros para brindarte más información de nuestro programa de canales:

JR

Regresar al blog