Dado que me paso la mitad del día enviando y recibiendo correos electrónicos, se me ocurrió que sería buena idea hacer una mini guía para explicar como distinguir, así a grosso modo, los correos auténticos de los falsos, más que nada para tener algo sencillo y asequible a lo que remitir a las personas que me preguntan sobre ello de vez en cuando.
La verdad es que no ha habido ningún intento de suplantación de identidad en relación con mis consultas desde que comencé a atenderlas en 2004, pero teniendo en cuenta la evolución del mundo en que vivimos, supongo que es mejor tomar unas precauciones básicas, al fin y al cabo es mediante el correo electrónico que gestiono la mayor parte de los pagos y las respuestas a las consultas.
Básicamente, el problema viene del hecho de que en Internet es relativamente sencillo falsificar correos electrónicos, cuantos más medios e impunidad tiene el atacante, mejor es la calidad de la falsificación; es algo que aparece en los medios de comunicación con relativa frecuencia, y al cabo del año puede suponer muchos millones de euros robados e incontables disgustos de todo tipo.
Este tipo de ataques puede consistir en que el atacante intenta suplantar a otra persona, o modifica los correos de dos personas que se están comunicando, por ejemplo para hacer un pago mediante transferencia bancaria, de tal forma que cuando una parte le da los datos de su cuenta a la otra, el atacante modifica el número de cuenta para que el dinero le llegue a él y no al proveedor del servicio, y luego en los siguientes días puede ir modificando los correos de una y otra parte para evitar que estas acudan a su banco para esclarecer la situación, de tal forma que gana tiempo para huir con el dinero robado.
Esto que puede parecer un guión de una película, por desgracia ocurre todos los días, y así es que hace ya muchos años que se han desarrollado los siguientes estándares tecnológicos para evitarlo, explico así en lenguaje de calle lo que es cada cosa para entendernos:
- SPF: es un sistema que dice que computadores están autorizados a enviar correos electrónicos para una determinada dirección de email, por ejemplo en mi caso son fuu.naqiao.hk y umi.naqiao.hk.
- DKIM: este sistema firma digitalmente los correos cuando salen del servidor, de tal forma que si alguien los modificase antes de llegar a su destino saltaría una alarma, también si un mensaje llega sin firma, obviamente.
- DMARC: es digamos el sistema que configura las alarmas para el anterior sistema, es decir, que si alguien en Corea del Norte intenta enviar un mensaje como que soy yo a otra persona en Namibia, no sólo esa persona podría ver que la firma DKIM no es válida, sino que también yo sería avisado de la situación automáticamente.
- PGP: es un sistema que garantiza que el mensaje ha sido físicamente escrito por su autor y que no ha sufrido alteraciones posteriores, es decir, que incluso aunque un atacante consiguiese burlar los anteriores 3 sistemas, todavía no conseguiría nada si no tiene la clave privada PGP y su correspondiente frase de paso.
La diferencia con los 3 anteriores es que este requiere la interacción física del autor del correo, y si procede también la del receptor, mientras que los otros funcionan invisiblemente de cara al usuario.
Obviamente todo esto implica una complejidad técnica considerable, y en la práctica cualquier programa de correo moderno se encarga de realizar esas 4 verificaciones de forma automática, por ejemplo en Gmail basta con hacer click en el desplegable de cada mensaje arriba a la derecha, y darle a "Mostrar original", entonces sale algo como esto:
Cuando está todo bien sale "PASS", y si hubiera algún problema diría "FAIL".
En el caso de Gmail, todavía (marzo 2017) no han implementado la verificación automática de las firmas PGP, deben de estar trabajando en ello, pero por ejemplo en el programa que uso yo se ve un mensaje como este:
Se sabe que la firma es correcta y el mensaje auténtico porque dice "firma correcta" y "firma PGP verificada con éxito" (abajo en la última línea).
En la práctica esto funciona un poco como las alarmas de las casas, que simplemente por el hecho de estar ahí en la fachada, bien visibles y con la lucecita parpadeando día y noche, los ladrones suelen preferir ir a robar a otra casa, aunque todo depende de que traten los correos electrónicos en si y del perfil de la víctima potencial.
Para comprobar que se tienen bien configuradas todas estas cosas lo mejor es usar una herramienta como esta que chequea todo lo relativo a DNS, listas negras de IPs y configuración visible de los servidores de correo, a veces es interesante probar con los nombres de dominio de algunas instituciones relacionadas con la seguridad, que deben gastar poco en informática, o directamente tienen el enemigo dentro...