09 Seguridad Email

LECCIN 9
SEGURIDAD DEL CORREO

ELECTRNICO (E-MAIL)
License for Use Inform!ion
The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:
ll works in the !acker !ighschool pro"ect are provided for non#commercial use with
elementary school students$ "unior high school students$ and high school students whether in a
public institution$ private institution$ or a part of home#schooling% These materials may not be
reproduced for sale in any form% The provision of any class$ course$ training$ or camp with
these materials for which a fee is charged is e&pressly forbidden without a license including
college classes$ university classes$ trade#school classes$ summer or computer camps$ and
similar% To purchase a license$ visit the 'ICE(SE section of the !acker !ighschool web page at
www%hackerhighschool%org)license%
The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence
of the instructor and not the tool% ISECOM cannot accept responsibility for how any
information herein is applied or abused%
The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask
you support us through the purchase of a license$ a donation$ or sponsorship%
ll works copyright ISECOM$ +,,-%
Informci"n so#re $ Licenci %e Uso
'as lecciones y cuadernos de traba"o siguientes son de acceso p.blico y est/n disponibles
ba"o las siguientes condiciones de ISECOM:
Todos los traba"os del proyecto 0!acker !ighschool1 son proporcionados para su uso no
comercial con estudiantes de escuelas primarias$ secundarias$ bachilleratos y ciclos
formativos dentro de las actividades acad2micas propias de la instituci3n% 4ichos materiales
no pueden ser reproducidos con fines comerciales de ning.n tipo% 'a impartici3n con estos
materiales de cual5uier clase$ curso o actividad de formaci3n para el 5ue sea necesario
pagar un importe$ 5ueda totalmente prohibida sin la licencia correspondiente$ incluyendo
cursos en escuelas y universidades$ cursos comerciales o cual5uier otro similar% *ara la
compra de una licencia visite la secci3n 0'ICE(SE1 de la p/gina web del proyecto 0!acker
!ighschool1 en www%hackerhighschool%org)license%
El proyecto !!S es una herramienta de aprendi6a"e y$ como tal$ la formaci3n final debe
proceder realmente de la influencia del instructor y no basarse .nicamente en el uso de la
herramienta%
ISECOM no puede aceptar ba"o ning.n concepto responsabilidad alguna sobre la forma de
aplicar$ ni sus consecuencias$ de cual5uier informaci3n disponible dentro del proyecto% El
proyecto !!S es un esfuer6o de una comunidad abierta$ por lo 5ue si encuentra .til este
proyecto le invitamos a patrocinarlo a trav2s de la compra de una licencia$ una donaci3n o
un patrocinio%
Todos los 4erechos 7eservados ISECOM$ +,,-%
&
LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL)
ndice
0'icense for 8se1 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Informaci3n sobre la 0'icencia de 8so1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Contribuciones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% -
9%, Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%:
9%; <C3mo funciona el correo electr3nico=%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%:
9%;%; Cuentas de correo electr3nico%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% :
9%;%+ *O* y SMT*%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%:
9%;%> Correo ?eb%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% @
9%+ 8tili6aci3n segura del Correo *arte ;: 7ecibiendo%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%@
9%+%; Spam$ *hishing y Araude%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% @
9%+%+ Correo !TM'%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%B
9%+%> Seguridad en rchivos ne&ados%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%B
9%+%- Encabe6ados Aalsos ) Aorged headers%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%B
9%> 8tili6aci3n Segura del Correo *arte +: Enviando%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;;
9%>%; Certificados 4igitales%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;;
9%>%+ Airmas 4igitales%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;+
9%>%> Obteniendo un certificado%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;>
9%>%- Encriptaci3n ) Cifrado%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;>
9%>%: <C3mo funciona=%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;>
9%>%C 4esencriptaci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;-
9%>%@ <Es el cifrado irrompible=%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;-
9%- Seguridad en las Cone&iones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;:
'ecturas 7ecomendadas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;C
(
Con!ri#)ciones
Stephen A% Smith$ 'ockdown (etworks
Chuck Truett$ ISECOM
Marta Darcel3$ ISECOM
Eim Truett$ ISECOM
7afael costa Serrano$ TFE Solutions
Gaume bella # Enginyeria 'a Salle
*
9+, In!ro%)cci"n
Todo el mundo hace uso del correo electr3nico% Es la segunda aplicaci3n m/s utili6ada sobre
la Internet adem/s del e&plorador% 'o 5ue no te percatas es del nivel significativo de ata5ues
e&istentes derivados del uso del correo electr3nico% H en lo concerniente a tu privacidad$ el
mal uso del e#mail estriba en comprometer y)o divulgar el contenido del mensa"e$ o
proporcionar informaci3n spammer acerca de ti% El prop3sito de 2ste m3dulo es proveerte
de informaci3n sobre c3mo funciona el e#mail$ la utili6aci3n segura de la herramienta$
ata5ues basados en e#mail y las estrategias de seguridad para el e#mail%
LESSON 9 E-MAIL SECURITY
9+- .C"mo f)ncion e$ correo e$ec!r"nico/
l igual 5ue el correo a2reo es enviado por aire$ el IeI#mail es enviado a trav2s del medio
0e1#lectr3nico en y entre las redes 5ue conforman la Internet% Cuando envJas un correo
electr3nico desde tu computadora$ los datos son enviados a un servidor SMT*% El servidor
SMT* busca el servidor *O*> correcto y envJa tu e#mail a ese servidor$ donde espera a 5ue el
receptor pueda recuperarlo%
9+-+- C)en!s %e correo e$ec!r"nico
'as cuentas de correo electr3nico est/n disponibles a trav2s de varias fuentes% *uedes
conseguir una a trav2s de tu escuela$ traba"o o de un proveedor de servicios de Internet KIS*
por sus siglas en ingl2sL% Cuando obtienes una cuenta de e#mail$ te dar/n una cuenta de
correo 5ue consta de dos partes usuarioMnombre%dominio% 'a primera parte$ el nombre del
usuario$ te identifica en tu red$ diferenci/ndote de otros usuarios de la misma red% 'a segunda
parte$ el nombre de dominio$ se utili6a para identificar tu red% El nombre de usuario deber/
ser .nico dentro de tu red$ al igual 5ue el nombre del dominio deber/ ser .nico entre todas
las redes de la Internet% Sin embargo$ los nombres de usuarios no son .nicos fuera de sus
redesN es posible 5ue dos usuarios en dos redes distintas puedan compartir el mismo nombre%
*or e"emplo$ un usuario con la direcci3n billMbignetwork%net no podr/ utili6ar el mismo
nombre de usuario en la red bignetwork% Sin embargo$ billMbignetwork%net y
billMsmallnetwork%net son direcciones v/lidas de correo electr3nico 5ue pueden referir a
usuarios distintos% 8na de las primeras cosas 5ue har/s cuando configures tu cuenta de
correo es incorporar tu direcci3n de correo electr3nico en tu cliente de correo% El cliente de
correo es el programa 5ue utili6ar/s para enviar y recibir e#mail% El cliente de correo de
Microsoft Outlook E&press es el m/s conocido Kpuesto 5ue es una distribuci3n gratuita dentro
del sistema operativo de MicrosoftL% Sin embargo e&isten otros clientes disponibles para la
plataforma ?indows y 'inu&$ incluyendo a Mo6illa$ Eudora$ Thunderbird y *ine%
9+-+& 0O0 1 SMT0
4espu2s de 5ue tu cliente de correo conoce tu direcci3n de correo electr3nico$ necesitar/
saber d3nde buscar el correo entrante y a d3nde enviar el saliente%
Tus correos entrantes estar/n en una computadora llamada servidor *O*% El servidor *O* O
generalmente con la sinta&is pop%smallnetwork%net o mail%smallnetwork%net O tiene un archivo
asociado con tu correo electr3nico$ el cual contiene correos 5ue te han sido enviados por
otros usuarios% *O* hace referencia a post office protocol%
2
Tus correos salientes ser/n enviados a una computadora llamada servidor SMT*% Este servidor
Ogeneralmente con la sinta&is smtp%smallnetwork%net O buscar/ el nombre de domino
contenido en la direcci3n de correo electr3nico en cual5uiera de los correos 5ue envJes$
despu2s reali6ar/ una b.s5ueda por 4(S a fin de determinar a 5u2 servidor *O*> deber/
enviar el correo% SMT* hace referencia a simple mail transfer protocol%
Cuando inicias un cliente de correo electr3nico$ una serie de acciones se llevan a acabo:
;% el cliente abre una cone&i3n de red hacia el servidor *O*
+% el cliente envJa tu contrasePa secreta al servidor *O*
>% el servidor *O* envJa tu correo entrante a tu computadora
-% el cliente envJa tu correo saliente al servidor SMT*%
lgo 5ue debes considerar en primera instancia es 5ue no envJas tu contrasePa al servidor
SMT*% SMT* es un vie"o protocolo$ disePado en la temprana edad de la creaci3n del correo
electr3nico$ tiempo en el 5ue casi todos en la Internet se conocJan personalmente% El
protocolo fue escrito asumiendo 5ue 5uien lo utili6aba era de confian6a$ por lo 5ue el SMT*
no verifica el usuario para asegurarse de 5ue en realidad t. eres t.% 'a mayorJa de los
servidores SMT* utili6an otros m2todos para autenticar usuarios$ pero Oen teorJa# cual5uier
persona puede utili6ar cual5uier servidor SMT* para enviar correo% K*ara mayor informaci3n$
ver secci3n 9%+%- Encabe6ados Aalsos # Aorged !eaders%L
'a segunda consideraci3n es 5ue cuando envJas tu contrasePa secreta a un servidor *O* la
envJas en formato de te&to plano% *odr/ estar escondida o enmascarada por pe5uePos
asteriscos en el monitor de tu computadora$ sin embargo es transmitida a trav2s de la red en
un formato legible% Cual5uier persona 5ue est2 monitori6ando el tr/fico en la red Ocon un
anali6ador de pa5uetes O ser/ capa6 de ver claramente tu contrasePa% *uedes sentirte
seguro de 5ue tu red es segura$ pero la realidad es 5ue tienes poco control sobre lo 5ue est/
ocurriendo en cual5uier otra red por la cual pasan tus datos%
'a tercera consideraci3n 5ue debes de saber$ y tal ve6 la m/s importante$ es 5ue Oal igual
5ue tu contrasePa Otus correos electr3nicos son transmitidos y almacenados en formato de
te&to plano% Es posible 5ue est2n monitori6ados en cual5uier momento en 5ue son
transferidos del servidor a tu computadora%
Todo esto apunta hacia una verdad: el correo electr3nico no es un m2todo seguro para
transferir informaci3n% 'o 5ue sJ es cierto es 5ue es e&celente para reenviar bromas$ enviar
advertencias de tipo spunkball$ etc% Sin embargo$ si no te sientes c3modo gritando hacia la
ventana de tu vecino$ tal ve6 deberJas pensar 5ui6/ dos veces antes de ponerlo en un correo
electr3nico%
<Te suena paranoico= Dueno$ sJ es paranoico$ pero no necesariamente lo hace no
verdadero% Muchas de nuestras comunicaciones de correo tratan acerca de detalles
insignificantes%
(adie e&cepto t.$ Dob y lice$ se preocupan por tus planes para la cena del pr3&imo martes%
H si Carol desea saber desesperadamente d3nde cenar/n el pr3&imo martes$ las
probabilidades son pocas de 5ue ella pueda tener un anali6ador de pa5uetes corriendo en
cual5uiera de las redes por donde pasa tu correo electr3nico% *ero$ si se sabe 5ue una
compaPJa utili6a el correo electr3nico para el mane"o de transacciones de tar"etas de
cr2dito$ no es poco probable 5ue alguien est2 intentando o tenga un m2todo para anali6ar
esos n.meros de tar"etas de cr2dito fuera del tr/fico de la red%
3
9+-+( Correo 4e#
8na segunda opci3n para el correo electr3nico es el uso de cuentas de correo basadas en
?eb% Esto te permitir/ utili6ar el e&plorador web para che5uear tu correo% 4esde 5ue el
correo de estas cuentas normalmente es almacenado en el servidor de correo web Ono en
tu computadora O es m/s conveniente utili6ar estos servicios desde varias computadoras% Es
posible 5ue tu proveedor de servicios de internet KIS*L te permita acceder a tu correo
electr3nico a trav2s de *O* o vJa ?eb%
Sin embargo$ deber/s recordar 5ue las p/ginas web son almacenadas de manera temporal
o local en computadoras locales% Si che5ueas tu correo a trav2s de un sistema basado en
web en una m/5uina 5ue no sea la tuya$ e&iste la posibilidad de 5ue tus correos puedan ser
consultados por otros 5ue utilicen la misma computadora%
'as cuentas de correo basadas en web puedes obtenerlas de manera f/cil y gratuita% Esto
significa 5ue te brindan la oportunidad de tener varias identidades en lJnea% T. puedes$ por
e"emplo$ tener una direcci3n de correo electr3nico e&clusivamente para tus amigos$ y otra
para tus familiares% Esto es considerado como aceptable$ mientras no pretendas defraudar a
alguien%
Ejercicios:
;% *uedes aprender bastante acerca de c3mo se obtienen los correos *O* mediante el
uso del programa telnet% Cuando utili6as telnet en lugar de un cliente de correo$
tienes 5ue teclear todos los comandos a mano Kcomandos 5ue un cliente de correo
generalmente los utili6a de manera autom/ticaL% 8tili6ando un buscador web$
encuentra las instrucciones y comandos necesarios para acceder a una cuenta de
correo utili6ando un programa telnet% <Cu/les son las desventa"as de utili6ar 2ste
m2todo para recuperar correo= <Cu/les son algunas de las venta"as potenciales=
+% Encuentra tres organi6aciones 5ue ofrecen servicios de correo basados en web% <Qu2
ofrecen$ si es 5ue prometen algo$ con respecto a la seguridad al enviar o recibir un
correo utili6ando sus servicios= <!acen algo por autenticar a sus usuarios=
>% K*osiblemente tareaL 4etermina el servidor SMT* de la cuenta de correo 5ue utili6as
frecuentemente%
9+& U!i$i5ci"n se6)r %e$ Correo 0r!e -7 Reci#ien%o
Todo mundo hace uso del correo electr3nico y$ para sorpresa de muchos$ el correo puede
ser utili6ado en tu contra% El correo nunca deber/ ser mane"ado como una tar"eta postal$ en
donde cual5uiera puede leer su contenido% (unca pongas en una cuenta com.n de correo
electr3nico algo 5ue no desees 5ue sea leJdo% Se ha dicho 5ue e&isten estrategias para
asegurar tu correo% En esta secci3n cubriremos la utili6aci3n segura y sana del correo y c3mo
proteger tu privacidad en lJnea%
9+&+- S8m9 0:is:in6 1 ;r)%e
todo mundo le gusta tener un correo% !ace tiempo$ en una gala&ia no muy le"ana$ solJas
tener el correo .nicamente de la gente 5ue conocJas$ e&istiendo aspectos 5ue cuidabas%
hora tienes el correo de gente 5ue nunca escuchaste y 5ue preguntar/n sobre d3nde
comprar software$ drogas$ bienes raJces$ por no mencionar a5uel en donde te ayudan a
obtener +- millones de d3lares desde (igeria% este tipo de anuncios no solicitados se les
denomina spam% Es sorprendente para mucha gente 5ue este tipo de correos 5ue reciben$
puede proporcionar mucha informaci3n de 5uien envJa el correo$ cu/ndo fue abierto el
<
correo y cu/ntas veces ha sido leJdo$ si ha sido reenviado$ etc% Este tipo de tecnologJa O
llamada web bugs O es utili6ada tanto por los spammers como por los 5ue realmente envJan
el correo% Tambi2n$ el contestar un correo o hacer click en un enlace para desuscribirse de
una lista puede decirle a 5uien lo envJa 5ue han alcan6ado una direcci3n e&istente o viva%
Otro tipo de preocupaci3n en materia de invasi3n de privacidad es el creciente ata5ue
conocido como 0phishing1% <!as recibido alg.n correo donde te piden firmar y verificar tu
cuenta de correo bancaria o de E#bay= Cuidado$ por5ue es un truco para robar informaci3n
de tu cuenta% *ara 5ue est2s seguro de 2ste tipo de ata5ues$ e&isten otras estrategias
sencillas para protegerte$ descritas m/s adelante%
9+&+& Correo =TML
8na de las preocupaciones en material de seguridad con los correos basados en !TM' es el
uso de los web bugs% 'os web bugs son im/genes escondidas en tu correo 5ue enla6an hacia
el servidor de 5uien lo envJa$ y puede proveerles notificaci3n de 5ue han recibido o abierto
el correo% Otro defecto con los correos !TM' es 5ue 5uien lo envJa puede incluir enlaces en
el correo 5ue identifican a la persona 5ue hace click en ellos% Esto puede proporcionar
informaci3n a 5uien lo manda acerca del estado del mensa"e% Como regla$ debes de utili6ar
un cliente de correo 5ue te permita deshabilitar la descarga autom/tica de im/genes
ane&adas o embebidas% Otro problema relacionado con los scripts en el correo es 5ue
e"ecutan una aplicaci3n$ si es 5ue tu e&plorador no ha sido parcheado contra
vulnerabilidades de seguridad%
*ara los clientes basados en web$ tienes la opci3n de deshabilitar la descarga autom/tica
de im/genes$ o la visuali6aci3n del mensa"e en modo te&to% Cual5uiera de ellas es una
buena pr/ctica de seguridad% 'a me"or manera de protegerte contra los ata5ues de
privacidad y seguridad basados en correo !TM' es el uso de correos en modo te&to%
Si necesitas utili6ar correo !TM'$ Rten cuidadoS
9+&+( Se6)ri%% en Arc:i>os Ane?%os
Otra preocupaci3n real es la relacionada con los archivos ane&ados a los correos% 'os
atacantes pueden enviar malware Osoftware malicioso por sus siglas en ingl2s#$ virus$ caballos
de Troya y todo tipo de programas desagradables% 'a me"or defensa contra correos con
malware es el no abrir un correo si no conoces a 5uien lo envJa% (unca abras un archivo con
e&tensi3n %e&e o %scr$ ya 5ue 2stos son e&tensiones 5ue e"ecutan archivos 5ue pueden
infectar tu m/5uina con cual5uier virus% 8na buena medida de prevenci3n es 5ue cual5uier
archivo 5ue recibas deber/s salvarlo a tu disco duro y posteriormente anali6arlo con un
programa de antivirus% Ten cuidado con los archivos 5ue parecen ser comunes$ como los
archivos 6ip% lgunos atacantes pueden disfra6ar un archivo s3lo cambiando el icono u
ocultando la e&tensi3n del archivo$ por lo 5ue tal ve6 no sepas 5ue es un e"ecutable%
LESSON 9 E-MAIL SECURITY
9+&+* Enc#e5%os ;$sos @ ;or6e% :e%ers
Ocasionalmente recibir/s correos 5ue parecen ser enviados por alguien 5ue conoces$ o por
el 0dministrador1$ 0*ostmaster1 o 0E5uipo de Seguridad1 de tu escuela o IS*% El tema del
correo puede ser 07eturned Mail1 o 0!acking ctivity1$ o cual5uier otro tema interesante% Es
muy com.n 5ue sea un archivo ane&ado% El problema es 5ue re5uiere alrededor de ;,
A
segundos de traba"o y poco conocimiento t2cnico para falsear una direcci3n de correo
electr3nico Ktambi2n$ dependiendo de donde vivas$ puede ser ilegal%L
*ara hacer esto$ haces un cambio simple en la configuraci3n de tu cliente de correo y allJ
donde te pregunta teclear tu direcci3n de correo Kba"o Opciones$ Configuraci3n o
*referenciasL tecleas cual5uier otra cosa% 4e ahora en adelante todos tus mensa"es tendr/n
una direcci3n de remitente falsa% <Esto significa 5ue ya est/s a salvo de ser identificado= (o$
no realmente% Cual5uier persona con la habilidad de leer el encabe6ado de un correo y 5ue
realice una b.s5ueda podr/ imaginarse tu identidad a partir de la informaci3n contenida en
el encabe6ado% 'o 5ue significa 5ue un spammer puede ser 5uien 2l dese2% *or lo 5ue si
Aanni Tyotoku UtelecommunicatecreaturesMco&%netV te vende una antena m/gica para tu
celular 5ue resulta ser una ca"a de cereales cubierta por una ho"a de lata$ puedes 5ue"arte
directamente con co&%net$ pero no te sorprendas cuando te digan 5ue no e&iste tal usuario%
Muchos de los proveedores de internet autentican a los 5ue envJan correos$ lo 5ue significa
5ue debes ser t. 5uien dices ser para enviar un correo a trav2s de su servidor SMT*% El
problema radica cuando los hackers y spammers corren un servidor SMT* en su propio
ordenador y$ por lo tanto$ no necesitan autenticarse al enviar un correo$ y pueden hacer 5ue
lu6ca como ellos deseen% 'a .nica manera segura de saber si un correo sospechoso es
legJtimo o no es conocer a 5uien envJa el correo y llamarle% (unca contestes un mensa"e 5ue
sospeches ha sido falseado$ ya 5ue le dirJa a 5uien lo envJa 5ue ha alcan6ado una direcci3n
e&istente% Tambi2n puedes fi"arte en la informaci3n 5ue aparece en el encabe6ado a fin de
determinar de d3nde viene el correo$ tal como aparece en el siguiente e"emplo:
Este es un correo electr3nico de alguien 5ue no cono6co$ con un archivo ane&ado
sospechoso% (ormalmente borrarJa 2ste correo pero 5uiero saber de d3nde viene realmente%
Me fi"o en el encabe6ado% 8tili6o Outlook +,,> como cliente de correo$ y para ver el
encabe6ado necesito ir a WerXOpciones y asJ podr2 ver la informaci3n del encabe6ado
como aparece aba"o:
Microsoft Mail Internet Headers Version 2.0
Received: from srv1.mycompany.com ([192.16.10.!"#$ %y m&1.mycompany.com
over '() sec*red c+annel ,it+ Microsoft )M'-)V.(6.0."/90.0$0
Mon1 9 2*3 2004 11:20:1 50/00
Received: from [10.10.205.241] (helo=www.mycompany.com)
9
%y srv1.mycompany.com ,it+ esmtp (6&im 4."0$
id 17*63(50001895a0 Mon1 09 2*3 2004 11:1!:"/ 50/00
Received: from :ara.or3 (6/.10.219.194.ptr.*s.&o.net [6/.10.219.194#$
%y ,,,.mycompany.com (.12.10;.12.10$ ,it+ )M'- id i/9I7<9r0"002
for =sales>mycompany.com?0 Mon1 9 2*3 2004 11:11:"4 50/00
@ate: Mon1 09 2*3 2004 14:1!:"! 50!00
'o: A)alesA =sales>mycompany.com?
From: !ale" #"ale"$innovonic".com%
)*%Bect:
Messa3e5I@: =cd:da%3*rd3ef*pf+nt>mycompany.com?
MIM65Version: 1.0
.ontent5'ype: m*ltipart;mi&ed0
%o*ndaryCA55555555cf,rie%,,%nnf::moB3aA
D5)can5)i3nat*re: 1/%fa99/4a422!06/4%1924a9c2"!
Ret*rn5-at+: sales>innovonics.com
D58ri3inal2rrival'ime: 09 2*3 2004 1:20:1.090 (9'.$ EI(6'IM6C
[6E6220:01.4/6"@#
5555555555cf,rie%,,%nnf::moB3a
.ontent5'ype: te&t;+tml0 c+arsetCA*s5asciiA
.ontent5'ransfer56ncodin3: /%it
5555555555cf,rie%,,%nnf::moB3a
.ontent5'ype: application;octet5stream0 nameCApriceF0.GipA
.ontent5'ransfer56ncodin3: %ase64
.ontent5@isposition: attac+ment0 filenameCApriceF0.GipA
5555555555cf,rie%,,%nnf::moB3aH
hora$ la parte en la 5ue estoy interesado est/ subrayada arriba% AJ"ate 5ue el campo de
07eceived1 es de kara%org con una I* 5ue parece ser una lJnea 4S' de &o%net$ la cual no
concuerda con innovonics%com$ el supuesto remitente%
dem/s$ si busco el servidor de correo innovonics%com utili6ando nslookup$ la direcci3n 5ue
me muestra es la siguiente:
.:I?nsloo:*p innovonics.com
)erver: dc.mycompany.com
2ddress: 192.16.10.!4
Jon5a*t+oritative ans,er:
Jame: innovonics.com
2ddress: 64.14".90.9
Entonces$ mi sospecha era correcta$ 2ste es un correo 5ue contiene alg.n malware en un
archivo e"ecutable a trav2s de un archivo 6ip% El malware ha infectado la computadora de
la persona 5ue tiene la lJnea 4S'$ el cual se conoce como un 6ombie$ ya 5ue envJa copias
del malware a todos a5uellos 5ue tiene en su agenda% RQu2 bueno 5ue verifi5u2 2stoS
Ejercicios:
;% Citibank y *ay*al son dos de los ob"etivos m/s comunes de correos phishing% Investiga
5u2 est/n haciendo Citibank o *ay*al para evitar)controlar el phishing%
+% Investiga si tu banco o emisor de tar"eta de cr2dito ha publicado una declaraci3n
acerca del uso de correo e informaci3n personal%
>% Kposiblemente tareaL Investiga un correo spam 5ue hayas recibido y mira si puedes
determinar cual es la fuente real%
-,
9+( U!i$i5ci"n Se6)r %e$ Correo 0r!e &7 En>in%o
El envJo de correo es un poco m/s cuidadoso% E&isten algunos puntos 5ue puedes considerar
para cerciorarte de 5ue la conversaci3n es segura% El primer punto es asegurarte de 5ue la
cone&i3n es segura Kpara mayor informaci3n ver secci3n 9+* Se6)ri%% en $s Cone?ionesL%
Tambi2n e&isten m2todos 5ue te permiten firmar de manera digital tus mensa"es$ lo 5ue
garanti6a 5ue el mensa"e proviene de tJ y 5ue no ha sido modificado durante el trayecto% H
para mayor seguridad$ puedes encriptar tus mensa"es a fin de 5ue nadie pueda leerlos%
'as firmas digitales prueban de d3nde viene el correo$ y 5ue no ha sido alterado en el
trayecto% Si adoptas el h/bito de utili6ar firmas digitales para correos importantes$ tendr/s
mucha credibilidad en caso de 5ue en alguna ocasi3n tengas 5ue negar alg.n correo
falseado 5ue aparente ser tuyo% *T* en particular ofrece niveles de encriptaci3n tan
comple"os 5ue re5uieren computadoras de gran potencia para ser descifrados%
9+(+- Cer!ific%os Di6i!$es
8n certificado digital es .nico para cada individuo$ como si fuese una licencia para conducir
o un pasaporte$ el cual se compone de + partes$ una llave p.blica y una privada% El
certificado es .nico para una persona y tJpicamente los certificados son e&pedidos por una
utoridad Certificadora confiable o C% 'a lista de utoridades Certificadoras en 5uien
confJas es distribuida autom/ticamente Ksi eres un usuario Microsoft ?indowsL a trav2s de la
actuali6aci3n de ?indows$ y la lista es accesible en tu e&plorador a trav2s de:
!erramientasXopciones de internetXcontenidoXcertificados%
*uedes ir a 2ste apartado para ver los certificados instalados en tu m/5uina Ktuyos o de
otrosL y otras autoridades certificadoras en las cuales confJas%
--
*uedes deshabilitar la actuali6aci3n autom/tica de Cs$ y elegir 5uitar todos los Cs de la
lista$ aun5ue no es recomendable% 'as instrucciones de c3mo hacer esto se encuentra
disponible en el sitio web de Microsoft%
9+(+& ;irms Di6i!$es
8na firma digital es generada por tu software de correo usando tu llave privada a fin de
garanti6ar la autenticidad del correo% El prop3sito de la firma es doble% El primero es certificar
5ue proviene de ti: es lo 5ue se llama 0no re8)%io1% El segundo es asegurar 5ue el contenido
no ha sido alterado$ lo 5ue se llama 0in!e6ri%% %e %!os1% 'a manera en 5ue un programa
de correo cumple con este cometido es mediante la e"ecuci3n de un proceso 5ue$ a partir
del contenido de tu mensa"e$ genera un resumen del mismo Omessage digest#% Yste .ltimo$ si
el algoritmo matem/tico 5ue se utili6a es lo suficientemente fuerte$ posee los siguientes
atributos%
El mensa"e original no puede ser reproducido a partir del resumen%
Cada resumen es .nico%
4espu2s de 5ue el resumen ha sido creado$ es cifrado con tu llave privada% El resumen
cifrado es ane&ado al mensa"e original "unto con tu llave p.blica% El recipiente abre el
mensa"e$ y el resumen es desencriptado con tu llave p.blica% El resumen es comparado con
el resumen id2ntico generado por el programa de correo del recipiente% Si concuerdan$ es
correcto% Si no$ tu cliente de correo te avisar/ 5ue el mensa"e ha sido modificado%
E&isten + tipos de funci3n de firma)cifrado$ S)MIME y *T*% S)MIME es considerada como la
me"or opci3n para el gobierno y corporaciones$ tal ve6 por 5ue utili6a menos recursos del
modelo de autenticaci3n de la autoridad certificadora$ y por5ue es de f/cil implantaci3n a
trav2s del cliente de Microsoft Outlook E&press% *T* es muy com.n dentro de las
comunidades de usuarios finales$ debido a 5ue est/ basada en un es5uema web de
confian6a no#centrali6ado$ en donde la confian6a de los usuarios es validada a trav2s de un
sistema 0amigo del amigo1$ en el cual acuerdas 5ue$ si tu confJas en mJ$ entonces puedes
confiar en a5uellos 5ue yo confJo$ y por5ue los miembros de las comunidades no les interesa
si toma cuatro horas el saber como funciona *T* con Thunderbird O ellos consideran este
tipo de retos como recreaci3n%
-&
9+(+( O#!enien%o )n cer!ific%o
Si est/s interesado en obtener un certificado digital o un I4 digital$ necesitas contactar a una
utoridad Certificadora KWerisign y thawte son las m/s conocidas$ a pesar de 5ue algunos
buscadores pueden encontrar otrasL% mbas re5uieren 5ue les proveas de tu identificaci3n a
fin de comprobarles 5ue eres t. 5uien dices ser% *uedes obtener un certificado gratuito de
thawte$ pero re5uiere una cantidad significativa de informaci3n personal$ incluyendo
identificaci3n oficial Kcomo el pasaporte$ identificaci3n para pago de impuestos o licencia
de mane"oL% Werisign pide una cuota por su certificado y re5uiere 5ue pagues esta cuota a
trav2s de una tar"eta de cr2dito$ sin embargo pide menos informaci3n% K*resuntamente$
Werisign reenvJa los datos con la compaPJa de la tar"eta de cr2dito a fin de validar tu
informaci3n personalL% Estas peticiones de informaci3n pueden parecer intrusivas$ pero
recuerda$ est/s pidiendo a 2stas compaPJas 5ue certifi5uen tu confian6a e identidad% H O
como siempre O che5uea con tus familiares o representantes antes de proveer cual5uier tipo
de informaci3n Ksi no$ tendr/n grandes cargos en sus tar"etas de cr2ditoL%
'a mayor desventa"a al utili6ar una autoridad certificadora es 5ue tu llave privada est/
disponible para un tercero: la autoridad certificadora% H si la autoridad certificadora se ve
comprometida$ entonces tu I4 digital est/ comprometido%
9+(+* Encri8!ci"n @ Cifr%o
Como una medida adicional de seguridad$ puedes cifrar tu correo electr3nico% El cifrado
puede convertir el te&to de tu correo en un lJo mutilado de n.meros y letras 5ue s3lo pueden
ser interpretados por a5uellos recipientes confiados% Tus secretos m/s profundos y tu peor
poesJa estar/n escondidos para todo el mundo e&cepto para a5uellos o"os en 5uien confJas%
Sin embargo$ debes recordar 5ue$ mientras esto te suene atractivo Oy para todos nosotros
5ue no deseamos ser e&puestos a la p2sima poesJa Oalgunos gobiernos no lo aprueban% Sus
argumentos pueden o no ser v/lidos Kpuedes discutir esto entre tus amigosL$ pero la valide6
no es el punto% El punto es 5ue$ dependiendo de las leyes del paJs en el 5ue vives$ el envJo de
correo cifrado puede ser un crimen$ independientemente del contenido%
9+(+2 .C"mo f)ncion/
'a encriptaci3n o cifrado es un poco complicada$ por lo 5ue intentar2 e&plicarlo de una
manera no muy t2cnica:
Gason desea enviar un mensa"e cifrado$ por lo 5ue lo primero 5ue hace Gason es ir con una
utoridad Certificadora y obtener un Certificado 4igital% Este Certificado tiene dos partes$
una llave p.blica y una llave privada%
Si Gason desea recibir y enviar mensa"es cifrados con su amiga Eira$ ambos deber/n
intercambiar sus llaves p.blicas% Si t. obtienes una llave p.blica de una utoridad
Certificadora$ en la cual has decidido confiar$ la llave puede ser verificada de manera
autom/tica a esa autoridad certificadora% Esto significa 5ue tu programa de correo
verificar/ 5ue el certificado es v/lido$ y 5ue no ha sido revocado% Si el certificado no
proviene de una autoridad en la 5ue confJas$ o es una llave *T*$ entonces necesitar/s
verificar la huella de la llave% TJpicamente esto se hace por separado$ mediante el
intercambio cara a cara de la llave o por la huella de los datos%
-(
sumamos ahora 5ue tanto Eira como Gason est/n utili6ando es5uemas de cifrado
compatibles$ y han intercambiado mensa"es firmados% Esto significa 5ue ambos poseen la
llave p.blica del otro%
Cuando Gason desea enviar un mensa"e cifrado$ el proceso de cifrado comien6a
convirtiendo el te&to del mensa"e de Gason en un c3digo pre#enmascarado% Yste c3digo es
generado utili6ando una f3rmula matem/tica llamada algoritmo de encriptaci3n% E&isten
varios tipos de algoritmos$ sin embargo$ para el correo$ el S)MIME y el *T* son los m/s
comunes%
El c3digo enmascarado del mensa"e de Gason es cifrado por el programa de correo
utili6ando la llave privada de Gason% Entonces$ Gason utili6a la llave p.blica de Eira para cifrar
el mensa"e$ por lo 5ue s3lo Eira podr/ desencriptarlo con su llave privada$ terminando asJ el
proceso de encriptaci3n%
9+(+3 Desencri8!ci"n
hora$ Eira ha recibido el mensa"e cifrado de Gason% Esto tJpicamente se indica con un icono
de un candado en la bande"a de entrada de ella% El proceso de desencriptaci3n es
mane"ado por el software de correo$ pero lo 5ue hay detr/s es algo como esto: el programa
de correo de Eira utili6a su llave privada para descifrar el c3digo encriptado pre#
enmascarado y el mensa"e encriptado% Entonces el programa de correo de Eira obtiene la
llave p.blica de Gason donde estaba almacenada Krecuerda$ intercambiamos llaves
anteriormenteL% Esta llave p.blica es utili6ada para desencriptar el c3digo pre enmascarado
del mensa"e% Si el posteo del c3digo enmascarado es igual al c3digo pre enmascarado$ el
mensa"e no ha sido alterado durante su trayecto%
(ota: si pierdes tu llave privada$ todos tus archivos encriptados no te ser/n .tiles$ por lo 5ue
es importante 5ue tengas un procedimiento para reali6ar el respaldo KbackupL tanto de tu
llave privada como p.blica%
9+(+< .Es e$ cifr%o irrom8i#$e/
4e acuerdo a los n.meros el nivel de encriptaci3n ofrecido por$ por e"emplo$ *T* es
irrompible% un5ue seguramente un mill3n de computadoras traba"ando para romperlo
podrJan eventualmente romperlo de manera e&itosa$ pero no antes de 5ue el mill3n de
chimpanc2s terminaran el gui3n para Romeo y Julieta% El n.mero te3rico detr/s de este tipo
de encriptaci3n involucra la descomposici3n en factores de los productos de un gran
n.mero de n.meros primos y el desafJo del hecho de 5ue los matem/ticos han estudiado los
n.meros primos por aPos$ por lo 5ue no hay una manera f/cil de hacerlo%
*ero la encriptaci3n y la privacidad es m/s 5ue s3lo n.meros% Sin embargo$ si alguien tiene
acceso a tu llave privada$ tendr/ acceso a todos tus archivos encriptados% 'a encriptaci3n
s3lo funciona si y s3lo si es parte de un es5uema grande de seguridad$ el cual ofrece
protecci3n tanto a tu llave privada como a tu pass#phrase o contrasePa de
encriptaci3n)desencriptaci3n%
Ejercicios:
;% <'a encriptaci3n de correo es legal en el paJs donde vives= Encuentra otro paJs donde sea
legal y otro donde no lo sea%
-*
+% 'os escritores de ciencia ficci3n han imaginado dos tipos de futuros$ uno en donde la
gente vive de manera transparente$ es decir$ sin secretos$ y otro en donde tanto los
pensamientos como las comunicaciones de todos son completamente privadas% *hil
Zimmerman$ creador de *T*$ cree en la privacidad como una fuente de libertad% 'ee sus
pensamientos en <por5u2 necesitas *T*= en http:))www%pgpi%org)doc)whypgp)en)% 'uego$
del escritor de ciencia ficci3n 4avid Drin$ en su artJculo titulado [ *arable about Openness[
5ue puedes encontrar en http:))www%davidbrin%com)akademos%html$ hace referencia a una
serie de puntos donde aboga por la fran5ue6a como una fuente de libertad% 4iscute 2stos
dos puntos de vista% <Cu/l prefieres= <Cu/l crees 5ue tendr/ mayor aceptaci3n= <C3mo
crees 5ue ser/ el futuro de la privacidad=
9+* Se6)ri%% en $s Cone?iones
'o .ltimo$ pero no menos importante$ es la seguridad en las cone&iones% *ara el correo web$
aseg.rate de utili6ar una cone&i3n SS' hacia tu proveedor de correo% 8n pe5uePo candado
deber/ aparecer en la barra de la parte inferior de tu e&plorador% Si est/s utili6ando *O* y un
cliente de correo$ aseg.rate de 5ue has configurado tu cliente de correo para utili6ar SS'
con *O* en el puerto 99: y SMT* en el puerto -C:% Esto encripta tu correo desde tu m/5uina
hasta el servidor$ adem/s de proteger tu usuario y contrasePa *O* ) SMT*% Tu proveedor
deber/ tener un how#to en su sitio web para saber como configurarlo% Si no te ofrecen una
cone&i3n segura de *O* ) SMT*$ Rcambia de proveedorS
Ejercicio:
Si tienes una cuenta de correo electr3nico$ averigua si tu cuenta est/ utili6ando una
cone&i3n SS'% <C3mo verificarJas esto en tu cliente de correo= <Tu proveedor proporciona
informaci3n sobre una cone&i3n SS'= LESSON 9 E-MAIL SECURITY
-2
Lec!)rs Recomen%%s
<lguien puede leer mi correo electr3nico=
http:))www%research%att%com)\smb)securemail%html
*/gina libre de *T* del MIT
http:))web%mit%edu)network)pgp%html
(oticias generales sobre aspectos de privacidad en la Internet:
Centro de Informaci3n de *rivacidad Electr3nica
http:))www%epic%org)
y
Electronic Arontier Aoundation
http:))www%eff%org)
M/s acerca de *T*
http:))www%openpgp%org)inde&%shtml
<C3mo el leer un E#mail puede comprometer tu *rivacidad=
http:))email%about%com)od)staysecureandprivate)a)webbug]privacy%htm
Evitando los Wirus del E#mail
http:))www%ethanwiner%com)virus%html
8na breve descripci3n de preguntas de seguridad en E#mail Kcon un pe5uePo aviso al finalL
http:))www%66ee%com)email#security)
8na breve descripci3n de preguntas de seguridad en E#mail Ksin avisoL
http:))www%claymania%com)safe#he&%html
*recauciones de E#mail basado en ?indows
http:))www%windowsecurity%com)articles)*rotecting]Email]Wiruses]Malware%html
http:))computer#techs%home%att%net)email]safety%htm
4iferencias Entre Wirus de 'inu& y ?indows Kcon informaci3n sobre por5u2 los programas de E#
mail de 'inu& son m/s segurosL
http:))www%theregister%co%uk)+,,>);,),C)linu&]vs]windows]viruses)
-3

09 Seguridad Email

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

09 Seguridad Email

Cargado por

Copyright:

Formatos disponibles

LECCIN 9

SEGURIDAD DEL CORREO

También podría gustarte