- Por Sergio Albea, Community Shared SOC de SWITCH.
Ya son varios los clientes/organizaciones que se encuentran con el mismo problema, gran cantidad de intentos de suplantación de identidades a través de correo electrónico. La solución que suelen adoptar en múltiples casos, se basa en invertir importantes cantidades en diferentes aplicaciones, sistemas, software, etc. pero el problema sigue sin estar resuelto y cantidad de emails tipo‘spoofing’ siguen amenazando a nuestros sistemas.
Dándole una vuelta al tema, llegue a la raíz del problema, como es posible que los hackers puedan encontrar los nombres de l@s usuari@s de una compañía, así como el dominio tan fácilmente? Pues la respuesta es que en la mayoría de veces, estamos facilitando esta información a los “hackers”.
Exponiendo nuestros datos a internet
Cuantas páginas web comparten diferentes emails de su compañía en la sección de “Contacto”, “Nosotros”, etc.? podéis hacer ese ejercicio visitando diferentes sitios y descubriréis varios casos donde se publican direcciones tales como info@dominio.es contacto@dominio.es y aún peor, emails personales para Q/A tales como Sergio.Estaban@dominio.es. ¿Y esto que significa? Significa que el hacker ya tiene nuestro dominio de correo y diferentes direcciones. Y no solo eso, si facilitamos un email personal, también le estamos dando cual es el formato usado para crear direcciones emails a nuestros usuarios, Nombre + apellido.
Social Enginnering, el ultimo paso
En este momento podríamos suponer que las únicas direcciones amenazadas serían las compartidas en nuestra página web. Sin embargo, estamos lejos de la realidad ya que a través de social enginnering, los hackers pueden navegar a redes sociales tales como Linkedin, buscar la empresa u organización y listar todos los usuarios que ahí trabajan. Por los casos conocidos, me aventuraría a decir que alrededor de un 70% de las personas que empiezan en un nuevo trabajo, una carrera en una universidad, una colaboración, etc. comparten este nuevo hecho en su perfil de Linkedin, facilitando la información necesaria a los atacantes.
Y aún hay más, por lo general, los mencionados usuarios también suelen compartir su nuevo rol, ¿y esto que significa? Pues por poner algunos ejemplos, los hackers pueden saber quién trabaja en RRHH para solicitar cambios de números de IBAN haciéndose pasar por otras personas de la misma empresa o centro de estudios. Un segundo caso sería identificar altos cargos y con sus Nombres de usuario, realizar spoofing hacia otros miembros de la misma organización sin apenas ningún esfuerzo.
Y recordemos, ya hemos facilitado nuestro dominio de correo y nuestro formato de direcciones de correo así que a los hackers, le es suficiente con los nombres mostrados en LinkedIn para empezar con sus ataques.
Disminuyendo volúmenes de spoofing a ‘coste 0’
A partir de esta realidad, recordé una solución que vi implementada en uno de mis proyectos, la cual ayuda a no tener que invertir y depender de miles de herramientas y aplicaciones para reducir este tipo de ataques.
Porque dar a nuestr@s usuari@s cuentas de un dominio que esta expuesto en nuestra web o redes sociales (por razones obvias) y no mejor aislarlos de forma segura? Para solucionar este problema, tenemos los conocidos subdominios.
Vamos con un ejemplo, si exponemos a internet un dominio llamado sealbea.com y publicamos diferentes cuentas asociadas, podemos crear subdominios adicionales para trabajadores, estudiantes o trabajadores externos.
Dominio/Subdominio | Tipo de cuenta |
| @Sealbea.com | Cuentas expuestas |
| @internal.sealbea.com | Internos |
| @students.sealbea.com | Estudiantes |
| @external.sealbea.com | Colaboraciones externas |
Y si, hay trabajo detrás para distribuir los diferentes buzones correspondientes dependiendo del usuario, pero el beneficio y el ahorro económico son realmente altos:
- Los hackers recibirán miles de NDR cuando intenten enviar emails tipo spoofing usando el dominio por defecto y nombres de trabajadores de la empresa.
- Si por algún motivo, el dominio de los correos expuestos es vulnerado, los subdominios ‘estarán a salvo’.
- Tener la opción de distribuir los buzones en diferentes estructuras, por ejemplo, el dominio expuesto (sealbea.com) podrían migrarse a la nube y dejar el resto de subdominios on-premises.
- Permitir usar patentes diferentes en cada subdominio al crear usuarios, s.albea@ salbea@ albea.sergio@, etc…
En Conclusión, la suplantación de identidad mediante correos electrónicos es un problema recurrente para muchas organizaciones, a menudo abordado con costosas inversiones sin resolver completamente la amenaza. La raíz del problema radica en la facilidad con la que los hackers obtienen información sobre usuarios y dominios, generalmente debido a la exposición voluntaria de estos datos en sitios web y redes sociales. Para mitigar este riesgo, se pueden utilizar subdominios para diferentes tipos de cuentas, manteniendo el dominio de correos expuestos aislado. Esta estrategia no solo reduce la cantidad de correos de suplantación exitosos, sino que protege los subdominios en caso de que el dominio principal sea comprometido, permitiendo una estructura de correo más segura y gestionable. Aunque requiere trabajo inicial, los beneficios en términos de seguridad y ahorro económico son significativos, proporcionando una solución efectiva y sostenible para la reducción de ataques de suplantación de identidad, hagámoslos sudar un poco más a los hackers que quieran atacarnos!
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
