Existe en el cibercrimen una táctica clave de suplantación de identidad que quizá despierte las ganas de ponerse a hacer una limpieza de primavera en cuanto a registros, porque de no hacerse un mantenimiento de los sistemas, los ciberdelincuentes pueden conseguir anular cualquier intento de los usuarios de autenticar su correo electrónico.
Se trata del 'dangling DNS' o 'DNS colgante', una mala configuración en los registros de un sistema de los nombres de dominio (DNS) relacionados con el correo electrónico. Así, el dominio o subdominio de referencia queda apuntando a un dominio que no existe o no está bajo control del propietario original del dominio. Con el término “colgante” se refieren a que la entrada DNS está apuntando a algo que permanece sin el soporte adecuado, como un dominio caducado, creando una grieta en la defensa que los ciberdelicuentes pueden explotar.
Si un subdominio se deja apuntando a un servicio externo que el propietario del dominio ya no controla, el atacante puede registrar ese dominio para tener el control de cualquier registro DNS que apunte hacia el mismo. De esta manera, cuando se inicia un ataque de suplantación de identidad, tiene la ventaja añadida de superar la autenticación del correo electrónico, obteniendo datos para planificar y ejecutar futuras amenazas dirigidas.
Prácticamente más del 90% de los ciberataques empieza por un simple correo electrónico, siendo el de suplantación de identidad uno de los preferidos por los atacantes con más de 3.000 millones de envíos al día. Como vector de amenaza, el email sigue siendo de las opciones favoritas, puesto que el ciberdelincuente no necesita grandes conocimientos para iniciar el ataque, ni esforzarse demasiado previamente. Sólo depende de su capacidad de convencer.
Para proporcionar voluntariamente datos confidenciales y credenciales, realizar una transferencia bancaria o instalar malware, los usuarios objetivo deben creer que están interactuando con un interlocutor de confianza. Por eso, es fundamental que en ciberseguridad se empleen protocolos y políticas que reduzcan el riesgo de suplantación de identidades. Un paso importante en esta dirección es activar y aplicar métodos de autenticación de correo electrónico en dominios, incluyendo:
- Autenticación de mensajes basada en dominios, informes y conformidad (DMARC): Un sistema de validación de correo electrónico que combate técnicas que se usan con frecuencia en phishing y spam de correo electrónico, como emails con direcciones de remitente falsificadas que simulan provenir de organizaciones legítimas.
- Convenio de Remitentes (SPF): Es una lista autorizada de direcciones IP de envío aprobadas, lo que ayuda a los sistemas de correo electrónico de los destinatarios a confirmar que un mensaje procede de una fuente legítima.
- Correo identificado por claves de dominio (DKIM): Comprueba si un email afirma proceder de un dominio específico estaba autorizado por el dueño del dominio.
Los propietarios de los dominios deberán revisar periódicamente las configuraciones DNS relacionadas con el correo electrónico para reducir la exposición al riesgo. Conviene revisar y eliminar registros DNS no utilizados o que apunten a servicios ya obsoletos; así como minimizar las entradas publicadas en registros DMARC, SPF o DKIM en busca de dominios que apunten a terceros o cambien de propietario. Además, como medidas para evitar adquisiciones de subdominios, se deben seguir las pautas indicadas por terceros o proveedores de cloud en caso de utilizar sus servicios, publicar una política sólida de rechazo de DMARC que evitará que personas malintencionadas exploten subdominios actuales y futuros, o usar tecnología de telemetría SPF para obtener visibilidad de los dominios inactivos que deben eliminarse.
Hacer auditoría y monitorización cada cierto tiempo de registros DNS es primordial para mantener una infraestructura depurada, segura y confiable. Este enfoque proactivo servirá para gestionar mejor incidentes basados en suplantaciones y proteger la presencia online.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
