Saltar al contenido principal

¿Qué es el SMTP Smuggling?

Imagen que muestra cómo funciona el SMTP en una red informática.

La ciberseguridad es un panorama dinámico en el que las amenazas antiguas evolucionan y surgen nuevas, como el SMTP smuggling, que es un recordatorio contundente de la importancia de mantenerse al día sobre las amenazas de ciberseguridad y los métodos para defenderse contra los ciberataques. Pero, ¿qué es exactamente el SMTP smuggling y cómo funciona?

¿Qué es el SMTP?

El Protocolo de Transferencia de Correo Simple (SMTP) es un protocolo de red TCP/IP que facilita la transmisión de correos electrónicos entre diferentes computadoras y servidores. El uso de este protocolo es tan generalizado que los clientes de correo electrónico que utilizan SMTP incluyen Gmail, Outlook, Yahoo y Apple.

Entonces, ¿qué es exactamente SMTP en el correo electrónico? Después de que se escribe un correo electrónico en un cliente como Microsoft Outlook, se entrega a un servidor SMTP, que examina el dominio del destinatario para encontrar el servidor de correo electrónico adecuado para entregar el mensaje. Si el proceso se desarrolla sin problemas, el servidor SMTP del dominio del destinatario procesa el correo electrónico y lo entrega o utiliza SMTP para reenviarlo a través de otra red antes de la entrega.

Una cosa importante a tener en cuenta sobre SMTP es que su capacidad para autenticar ha sido históricamente limitada. Como resultado, la suplantación de correo electrónico se convirtió en una preocupación seria. Los atacantes podían simplemente elegir la herramienta adecuada —puede ser otro cliente de correo, un script o una utilidad— que les permitía elegir el nombre del remitente. Luego cometían ataques dirigidos con correos electrónicos para hacerse pasar por un remitente de confianza y convencer a la víctima para que realizara una acción específica, como hacer clic en enlaces de phishing o descargar archivos infectados con malware.

Se diseñaron varias medidas de seguridad para corregir esta vulnerabilidad inherente (CVE-2023-51766), incluyendo:

  • Marco de Políticas de Remitente (SPF): Esto utiliza registros DNS para indicar a los servidores de correo receptores qué direcciones IP tienen autorización para enviar correos electrónicos desde un dominio específico.
  • Correo Identificado por Clave de Dominio (DKIM): Este método utiliza una clave privada almacenada en el servidor del remitente para firmar digitalmente los correos electrónicos salientes, lo que permite a los servidores receptores validar a los remitentes con la clave pública del servidor de envío.
  • Autenticación, Informes y Conformidad de Mensajes Basados en Dominio (DMARC) Este protocolo verifica el dominio de envío del correo electrónico en el encabezado “From” contra SPF o DKIM; si hay una discrepancia, la verificación de DMARC falla. Sin embargo, este protocolo no se utiliza comúnmente.

¿Qué es un servidor SMTP?

Un servidor SMTP en redes informáticas es un servidor de correo que puede enviar y recibir correos electrónicos utilizando el protocolo SMTP. Generalmente, estos servidores utilizan TCP en el puerto 25 o 587; los números indican al servidor qué procesos específicos emplear con los mensajes. Los clientes de correo se conectan directamente al servidor SMTP del proveedor de correo electrónico para enviar un correo. Varios programas de software diferentes se ejecutan en un servidor SMTP:

  • Agente de Envío de Correo (MSA): Recibe mensajes del cliente de correo electrónico.
  • Agente de Transferencia de Correo (MTA): Transfiere correos electrónicos al siguiente servidor según corresponda; en este punto, el servidor puede iniciar una consulta DNS para el registro de intercambio de correo (MX) del dominio del destinatario.
  • Agente de Entrega de Correo (MDA): Recibe correos electrónicos para su almacenamiento en la bandeja de entrada del destinatario.

¿Qué es el SMTP Smuggling?

El SMTP smuggling se refiere a ciberataques que suplantan direcciones de correo electrónico para que sus mensajes parezcan haber sido enviados desde fuentes legítimas. El objetivo final de estos ciberataques es ejecutar una forma de phishing y alentar a la víctima a tomar acciones como hacer clic en enlaces maliciosos, abrir archivos adjuntos infectados o incluso enviar información sensible o dinero.

Estos ataques aprovechan las diferencias entre cómo los servidores de correo salientes y entrantes procesan las secuencias de código de fin de datos. El objetivo es engañar al servidor del destinatario para que interprete de manera diferente el final de un mensaje utilizando comandos SMTP "contrabandeados", de modo que el correo aparezca como dos mensajes separados.

¿Cómo funciona el SMTP smuggling?

Para llevar a cabo los ataques, los cibercriminales “contrabandean” comandos SMTP ambiguos para comprometer la integridad de las comunicaciones del servidor de correo electrónico; esto está inspirado en cómo funcionan los ataques de smuggling de solicitudes HTTP. Más específicamente, los servidores SMTP tradicionalmente indican el final de los datos del mensaje con el código <CR><LF>.<CR><LF> o \r\n.\r\n. Estos representan “Devolución de carro” y “Salto de línea”, respectivamente, y son delimitadores de texto estándar.

Al cambiar esta secuencia de código, los atacantes pueden alterar la comprensión del servidor sobre dónde termina la información del mensaje. Si pueden indicar al servidor saliente que el mensaje termina en un punto mientras le dicen al servidor entrante que el mensaje termina más tarde, se crea un espacio para contrabandear datos adicionales.

Normalmente, estos correos electrónicos suplantados son parte de ataques de phishing dirigidos. Las empresas son particularmente vulnerables al e SMTP smuggling porque puede ser más fácil suplantar sus dominios y utilizar ingeniería social para crear correos electrónicos de phishing o ataques de spear-phishing.

¿Cómo evitar correos electrónicos de SMTP smuggling?

Aunque los fabricantes de los servidores de correo más populares y conocidos, como Postfix, Exim y Sendmail, han lanzado soluciones y alternativas para contrarrestar el smuggling, se pueden tomar varios otros pasos para tratar de minimizar la amenaza:

  1. Realizar controles de seguridad regulares dentro de la infraestructura de la organización para monitorear posibles vectores de ataque y vulnerabilidades.
  2. Revisar el software de enrutamiento de correo electrónico que se esté utilizando; si se sabe que el software es vulnerable, actualizarlo a la última versión y usar configuraciones que rechacen específicamente el pipelining no autorizado.
  3. Se aconseja a los usuarios de los productos de correo electrónico de Cisco que actualicen manualmente su configuración predeterminada para el “Manejo de CR y LF” a “Permitir”, en lugar de “Limpiar”, para que el servidor solo interprete y entregue correos electrónicos con <CR><LF>.<CR><LF> como el código de secuencia de fin de datos.
  4. Desautorizar <LF> sin <CR> en el código.
  5. Desconectar clientes SMTP remotos que envían nuevas líneas en blanco.
  6. Implementar capacitación regular en concientización sobre seguridad para los empleados, que puede incluir, por ejemplo, verificar la dirección de correo electrónico del remitente antes de tomar cualquier acción adicional.

¿Cómo se ve el spoofing del SMTP de correo electrónico?

Para estar alerta ante la amenaza del SMTP smuggling, puede ser útil saber cómo podría verse un correo electrónico suplantado. Un correo electrónico suplantado puede tomar varias formas:

  1. Suplantación de dominio legítimo: Esto es simplemente suplantar el dominio de una empresa insertándolo en el encabezado “De” del correo electrónico. Esto es lo que los métodos de autenticación SPF, DKIM y DMARC intentan detectar. Las empresas deben configurar su autenticación de correo adecuadamente para minimizar la capacidad de los atacantes de suplantar sus dominios.
  2. Suplantación del nombre de visualización: En este caso, el nombre del remitente —mostrado antes de la dirección de correo electrónico en el encabezado “De”— es suplantado, a menudo utilizando el nombre real de un empleado de la empresa. La mayoría de los clientes de correo electrónico ocultan automáticamente la dirección de correo del remitente y solo muestran el nombre de visualización, por lo que los usuarios deben verificar la dirección si el correo parece sospechoso. Hay varias formas de esto, incluyendo Ghost Spoofing y AD Spoofing. Kaspersky Secure Mail Gateway (KSMG) proporciona una poderosa protección contra los ataques de AD Spoofing al verificar la autenticidad del remitente y garantizar que los mensajes cumplan con los estándares de autenticación de correo electrónico establecidos.
  3. Suplantación de dominio similar: Este método más complicado requiere que el atacante registre un dominio similar al de la organización objetivo y configure correo, firmas DKIM/SPF y autenticación DMARC. Nuevamente, hay varios tipos de esta forma de suplantación, incluyendo la Primary Lookalike (por ejemplo, una falta de ortografía de un dominio de empresa legítima) y Unicode Spoofing (reemplazando un carácter ASCII en el nombre de dominio por un carácter similar de Unicode). KSMG puede ayudar a las organizaciones a defenderse contra los ataques de suplantación de dominios similares al verificar las identidades de los remitentes y mitigar el riesgo de correos electrónicos engañosos.

Kaspersky Endpoint Security recibió el premio de “Producto del año” en la categoría de consumidores de AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.

Artículos y vínculos relacionados:

Productos y servicios relacionados:

¿Qué es el SMTP Smuggling?

El SMTP Smuggling es una amenaza de ciberseguridad que ha surgido en los últimos meses. Descubre cuál es la amenaza, cómo funciona y cómo minimizar sus riesgos.
Kaspersky logo

Artículos relacionados