ELECTRNICO (E-MAIL) License for Use Inform!ion The following lessons and workbooks are open and publicly available under the following terms and conditions of ISECOM: ll works in the !acker !ighschool pro"ect are provided for non#commercial use with elementary school students$ "unior high school students$ and high school students whether in a public institution$ private institution$ or a part of home#schooling% These materials may not be reproduced for sale in any form% The provision of any class$ course$ training$ or camp with these materials for which a fee is charged is e&pressly forbidden without a license including college classes$ university classes$ trade#school classes$ summer or computer camps$ and similar% To purchase a license$ visit the 'ICE(SE section of the !acker !ighschool web page at www%hackerhighschool%org)license% The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence of the instructor and not the tool% ISECOM cannot accept responsibility for how any information herein is applied or abused% The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask you support us through the purchase of a license$ a donation$ or sponsorship% ll works copyright ISECOM$ +,,-% Informci"n so#re $ Licenci %e Uso 'as lecciones y cuadernos de traba"o siguientes son de acceso p.blico y est/n disponibles ba"o las siguientes condiciones de ISECOM: Todos los traba"os del proyecto 0!acker !ighschool1 son proporcionados para su uso no comercial con estudiantes de escuelas primarias$ secundarias$ bachilleratos y ciclos formativos dentro de las actividades acad2micas propias de la instituci3n% 4ichos materiales no pueden ser reproducidos con fines comerciales de ning.n tipo% 'a impartici3n con estos materiales de cual5uier clase$ curso o actividad de formaci3n para el 5ue sea necesario pagar un importe$ 5ueda totalmente prohibida sin la licencia correspondiente$ incluyendo cursos en escuelas y universidades$ cursos comerciales o cual5uier otro similar% *ara la compra de una licencia visite la secci3n 0'ICE(SE1 de la p/gina web del proyecto 0!acker !ighschool1 en www%hackerhighschool%org)license% El proyecto !!S es una herramienta de aprendi6a"e y$ como tal$ la formaci3n final debe proceder realmente de la influencia del instructor y no basarse .nicamente en el uso de la herramienta% ISECOM no puede aceptar ba"o ning.n concepto responsabilidad alguna sobre la forma de aplicar$ ni sus consecuencias$ de cual5uier informaci3n disponible dentro del proyecto% El proyecto !!S es un esfuer6o de una comunidad abierta$ por lo 5ue si encuentra .til este proyecto le invitamos a patrocinarlo a trav2s de la compra de una licencia$ una donaci3n o un patrocinio% Todos los 4erechos 7eservados ISECOM$ +,,-% & LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) ndice 0'icense for 8se1 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% + Informaci3n sobre la 0'icencia de 8so1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% + Contribuciones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% - 9%, Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%: 9%; <C3mo funciona el correo electr3nico=%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%: 9%;%; Cuentas de correo electr3nico%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% : 9%;%+ *O* y SMT*%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%: 9%;%> Correo ?eb%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% @ 9%+ 8tili6aci3n segura del Correo *arte ;: 7ecibiendo%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%@ 9%+%; Spam$ *hishing y Araude%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% @ 9%+%+ Correo !TM'%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%B 9%+%> Seguridad en rchivos ne&ados%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%B 9%+%- Encabe6ados Aalsos ) Aorged headers%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%B 9%> 8tili6aci3n Segura del Correo *arte +: Enviando%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;; 9%>%; Certificados 4igitales%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;; 9%>%+ Airmas 4igitales%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;+ 9%>%> Obteniendo un certificado%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;> 9%>%- Encriptaci3n ) Cifrado%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;> 9%>%: <C3mo funciona=%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;> 9%>%C 4esencriptaci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;- 9%>%@ <Es el cifrado irrompible=%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;- 9%- Seguridad en las Cone&iones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;: 'ecturas 7ecomendadas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;C ( LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) Con!ri#)ciones Stephen A% Smith$ 'ockdown (etworks Chuck Truett$ ISECOM Marta Darcel3$ ISECOM Eim Truett$ ISECOM 7afael costa Serrano$ TFE Solutions Gaume bella # Enginyeria 'a Salle * LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) 9+, In!ro%)cci"n Todo el mundo hace uso del correo electr3nico% Es la segunda aplicaci3n m/s utili6ada sobre la Internet adem/s del e&plorador% 'o 5ue no te percatas es del nivel significativo de ata5ues e&istentes derivados del uso del correo electr3nico% H en lo concerniente a tu privacidad$ el mal uso del e#mail estriba en comprometer y)o divulgar el contenido del mensa"e$ o proporcionar informaci3n spammer acerca de ti% El prop3sito de 2ste m3dulo es proveerte de informaci3n sobre c3mo funciona el e#mail$ la utili6aci3n segura de la herramienta$ ata5ues basados en e#mail y las estrategias de seguridad para el e#mail% LESSON 9 E-MAIL SECURITY 9+- .C"mo f)ncion e$ correo e$ec!r"nico/ l igual 5ue el correo a2reo es enviado por aire$ el IeI#mail es enviado a trav2s del medio 0e1#lectr3nico en y entre las redes 5ue conforman la Internet% Cuando envJas un correo electr3nico desde tu computadora$ los datos son enviados a un servidor SMT*% El servidor SMT* busca el servidor *O*> correcto y envJa tu e#mail a ese servidor$ donde espera a 5ue el receptor pueda recuperarlo% 9+-+- C)en!s %e correo e$ec!r"nico 'as cuentas de correo electr3nico est/n disponibles a trav2s de varias fuentes% *uedes conseguir una a trav2s de tu escuela$ traba"o o de un proveedor de servicios de Internet KIS* por sus siglas en ingl2sL% Cuando obtienes una cuenta de e#mail$ te dar/n una cuenta de correo 5ue consta de dos partes usuarioMnombre%dominio% 'a primera parte$ el nombre del usuario$ te identifica en tu red$ diferenci/ndote de otros usuarios de la misma red% 'a segunda parte$ el nombre de dominio$ se utili6a para identificar tu red% El nombre de usuario deber/ ser .nico dentro de tu red$ al igual 5ue el nombre del dominio deber/ ser .nico entre todas las redes de la Internet% Sin embargo$ los nombres de usuarios no son .nicos fuera de sus redesN es posible 5ue dos usuarios en dos redes distintas puedan compartir el mismo nombre% *or e"emplo$ un usuario con la direcci3n billMbignetwork%net no podr/ utili6ar el mismo nombre de usuario en la red bignetwork% Sin embargo$ billMbignetwork%net y billMsmallnetwork%net son direcciones v/lidas de correo electr3nico 5ue pueden referir a usuarios distintos% 8na de las primeras cosas 5ue har/s cuando configures tu cuenta de correo es incorporar tu direcci3n de correo electr3nico en tu cliente de correo% El cliente de correo es el programa 5ue utili6ar/s para enviar y recibir e#mail% El cliente de correo de Microsoft Outlook E&press es el m/s conocido Kpuesto 5ue es una distribuci3n gratuita dentro del sistema operativo de MicrosoftL% Sin embargo e&isten otros clientes disponibles para la plataforma ?indows y 'inu&$ incluyendo a Mo6illa$ Eudora$ Thunderbird y *ine% 9+-+& 0O0 1 SMT0 4espu2s de 5ue tu cliente de correo conoce tu direcci3n de correo electr3nico$ necesitar/ saber d3nde buscar el correo entrante y a d3nde enviar el saliente% Tus correos entrantes estar/n en una computadora llamada servidor *O*% El servidor *O* O generalmente con la sinta&is pop%smallnetwork%net o mail%smallnetwork%net O tiene un archivo asociado con tu correo electr3nico$ el cual contiene correos 5ue te han sido enviados por otros usuarios% *O* hace referencia a post office protocol% 2 LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) Tus correos salientes ser/n enviados a una computadora llamada servidor SMT*% Este servidor Ogeneralmente con la sinta&is smtp%smallnetwork%net O buscar/ el nombre de domino contenido en la direcci3n de correo electr3nico en cual5uiera de los correos 5ue envJes$ despu2s reali6ar/ una b.s5ueda por 4(S a fin de determinar a 5u2 servidor *O*> deber/ enviar el correo% SMT* hace referencia a simple mail transfer protocol% Cuando inicias un cliente de correo electr3nico$ una serie de acciones se llevan a acabo: ;% el cliente abre una cone&i3n de red hacia el servidor *O* +% el cliente envJa tu contrasePa secreta al servidor *O* >% el servidor *O* envJa tu correo entrante a tu computadora -% el cliente envJa tu correo saliente al servidor SMT*% lgo 5ue debes considerar en primera instancia es 5ue no envJas tu contrasePa al servidor SMT*% SMT* es un vie"o protocolo$ disePado en la temprana edad de la creaci3n del correo electr3nico$ tiempo en el 5ue casi todos en la Internet se conocJan personalmente% El protocolo fue escrito asumiendo 5ue 5uien lo utili6aba era de confian6a$ por lo 5ue el SMT* no verifica el usuario para asegurarse de 5ue en realidad t. eres t.% 'a mayorJa de los servidores SMT* utili6an otros m2todos para autenticar usuarios$ pero Oen teorJa# cual5uier persona puede utili6ar cual5uier servidor SMT* para enviar correo% K*ara mayor informaci3n$ ver secci3n 9%+%- Encabe6ados Aalsos # Aorged !eaders%L 'a segunda consideraci3n es 5ue cuando envJas tu contrasePa secreta a un servidor *O* la envJas en formato de te&to plano% *odr/ estar escondida o enmascarada por pe5uePos asteriscos en el monitor de tu computadora$ sin embargo es transmitida a trav2s de la red en un formato legible% Cual5uier persona 5ue est2 monitori6ando el tr/fico en la red Ocon un anali6ador de pa5uetes O ser/ capa6 de ver claramente tu contrasePa% *uedes sentirte seguro de 5ue tu red es segura$ pero la realidad es 5ue tienes poco control sobre lo 5ue est/ ocurriendo en cual5uier otra red por la cual pasan tus datos% 'a tercera consideraci3n 5ue debes de saber$ y tal ve6 la m/s importante$ es 5ue Oal igual 5ue tu contrasePa Otus correos electr3nicos son transmitidos y almacenados en formato de te&to plano% Es posible 5ue est2n monitori6ados en cual5uier momento en 5ue son transferidos del servidor a tu computadora% Todo esto apunta hacia una verdad: el correo electr3nico no es un m2todo seguro para transferir informaci3n% 'o 5ue sJ es cierto es 5ue es e&celente para reenviar bromas$ enviar advertencias de tipo spunkball$ etc% Sin embargo$ si no te sientes c3modo gritando hacia la ventana de tu vecino$ tal ve6 deberJas pensar 5ui6/ dos veces antes de ponerlo en un correo electr3nico% <Te suena paranoico= Dueno$ sJ es paranoico$ pero no necesariamente lo hace no verdadero% Muchas de nuestras comunicaciones de correo tratan acerca de detalles insignificantes% (adie e&cepto t.$ Dob y lice$ se preocupan por tus planes para la cena del pr3&imo martes% H si Carol desea saber desesperadamente d3nde cenar/n el pr3&imo martes$ las probabilidades son pocas de 5ue ella pueda tener un anali6ador de pa5uetes corriendo en cual5uiera de las redes por donde pasa tu correo electr3nico% *ero$ si se sabe 5ue una compaPJa utili6a el correo electr3nico para el mane"o de transacciones de tar"etas de cr2dito$ no es poco probable 5ue alguien est2 intentando o tenga un m2todo para anali6ar esos n.meros de tar"etas de cr2dito fuera del tr/fico de la red% 3 LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) 9+-+( Correo 4e# 8na segunda opci3n para el correo electr3nico es el uso de cuentas de correo basadas en ?eb% Esto te permitir/ utili6ar el e&plorador web para che5uear tu correo% 4esde 5ue el correo de estas cuentas normalmente es almacenado en el servidor de correo web Ono en tu computadora O es m/s conveniente utili6ar estos servicios desde varias computadoras% Es posible 5ue tu proveedor de servicios de internet KIS*L te permita acceder a tu correo electr3nico a trav2s de *O* o vJa ?eb% Sin embargo$ deber/s recordar 5ue las p/ginas web son almacenadas de manera temporal o local en computadoras locales% Si che5ueas tu correo a trav2s de un sistema basado en web en una m/5uina 5ue no sea la tuya$ e&iste la posibilidad de 5ue tus correos puedan ser consultados por otros 5ue utilicen la misma computadora% 'as cuentas de correo basadas en web puedes obtenerlas de manera f/cil y gratuita% Esto significa 5ue te brindan la oportunidad de tener varias identidades en lJnea% T. puedes$ por e"emplo$ tener una direcci3n de correo electr3nico e&clusivamente para tus amigos$ y otra para tus familiares% Esto es considerado como aceptable$ mientras no pretendas defraudar a alguien% Ejercicios: ;% *uedes aprender bastante acerca de c3mo se obtienen los correos *O* mediante el uso del programa telnet% Cuando utili6as telnet en lugar de un cliente de correo$ tienes 5ue teclear todos los comandos a mano Kcomandos 5ue un cliente de correo generalmente los utili6a de manera autom/ticaL% 8tili6ando un buscador web$ encuentra las instrucciones y comandos necesarios para acceder a una cuenta de correo utili6ando un programa telnet% <Cu/les son las desventa"as de utili6ar 2ste m2todo para recuperar correo= <Cu/les son algunas de las venta"as potenciales= +% Encuentra tres organi6aciones 5ue ofrecen servicios de correo basados en web% <Qu2 ofrecen$ si es 5ue prometen algo$ con respecto a la seguridad al enviar o recibir un correo utili6ando sus servicios= <!acen algo por autenticar a sus usuarios= >% K*osiblemente tareaL 4etermina el servidor SMT* de la cuenta de correo 5ue utili6as frecuentemente% 9+& U!i$i5ci"n se6)r %e$ Correo 0r!e -7 Reci#ien%o Todo mundo hace uso del correo electr3nico y$ para sorpresa de muchos$ el correo puede ser utili6ado en tu contra% El correo nunca deber/ ser mane"ado como una tar"eta postal$ en donde cual5uiera puede leer su contenido% (unca pongas en una cuenta com.n de correo electr3nico algo 5ue no desees 5ue sea leJdo% Se ha dicho 5ue e&isten estrategias para asegurar tu correo% En esta secci3n cubriremos la utili6aci3n segura y sana del correo y c3mo proteger tu privacidad en lJnea% 9+&+- S8m9 0:is:in6 1 ;r)%e todo mundo le gusta tener un correo% !ace tiempo$ en una gala&ia no muy le"ana$ solJas tener el correo .nicamente de la gente 5ue conocJas$ e&istiendo aspectos 5ue cuidabas% hora tienes el correo de gente 5ue nunca escuchaste y 5ue preguntar/n sobre d3nde comprar software$ drogas$ bienes raJces$ por no mencionar a5uel en donde te ayudan a obtener +- millones de d3lares desde (igeria% este tipo de anuncios no solicitados se les denomina spam% Es sorprendente para mucha gente 5ue este tipo de correos 5ue reciben$ puede proporcionar mucha informaci3n de 5uien envJa el correo$ cu/ndo fue abierto el < LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) correo y cu/ntas veces ha sido leJdo$ si ha sido reenviado$ etc% Este tipo de tecnologJa O llamada web bugs O es utili6ada tanto por los spammers como por los 5ue realmente envJan el correo% Tambi2n$ el contestar un correo o hacer click en un enlace para desuscribirse de una lista puede decirle a 5uien lo envJa 5ue han alcan6ado una direcci3n e&istente o viva% Otro tipo de preocupaci3n en materia de invasi3n de privacidad es el creciente ata5ue conocido como 0phishing1% <!as recibido alg.n correo donde te piden firmar y verificar tu cuenta de correo bancaria o de E#bay= Cuidado$ por5ue es un truco para robar informaci3n de tu cuenta% *ara 5ue est2s seguro de 2ste tipo de ata5ues$ e&isten otras estrategias sencillas para protegerte$ descritas m/s adelante% 9+&+& Correo =TML 8na de las preocupaciones en material de seguridad con los correos basados en !TM' es el uso de los web bugs% 'os web bugs son im/genes escondidas en tu correo 5ue enla6an hacia el servidor de 5uien lo envJa$ y puede proveerles notificaci3n de 5ue han recibido o abierto el correo% Otro defecto con los correos !TM' es 5ue 5uien lo envJa puede incluir enlaces en el correo 5ue identifican a la persona 5ue hace click en ellos% Esto puede proporcionar informaci3n a 5uien lo manda acerca del estado del mensa"e% Como regla$ debes de utili6ar un cliente de correo 5ue te permita deshabilitar la descarga autom/tica de im/genes ane&adas o embebidas% Otro problema relacionado con los scripts en el correo es 5ue e"ecutan una aplicaci3n$ si es 5ue tu e&plorador no ha sido parcheado contra vulnerabilidades de seguridad% *ara los clientes basados en web$ tienes la opci3n de deshabilitar la descarga autom/tica de im/genes$ o la visuali6aci3n del mensa"e en modo te&to% Cual5uiera de ellas es una buena pr/ctica de seguridad% 'a me"or manera de protegerte contra los ata5ues de privacidad y seguridad basados en correo !TM' es el uso de correos en modo te&to% Si necesitas utili6ar correo !TM'$ Rten cuidadoS 9+&+( Se6)ri%% en Arc:i>os Ane?%os Otra preocupaci3n real es la relacionada con los archivos ane&ados a los correos% 'os atacantes pueden enviar malware Osoftware malicioso por sus siglas en ingl2s#$ virus$ caballos de Troya y todo tipo de programas desagradables% 'a me"or defensa contra correos con malware es el no abrir un correo si no conoces a 5uien lo envJa% (unca abras un archivo con e&tensi3n %e&e o %scr$ ya 5ue 2stos son e&tensiones 5ue e"ecutan archivos 5ue pueden infectar tu m/5uina con cual5uier virus% 8na buena medida de prevenci3n es 5ue cual5uier archivo 5ue recibas deber/s salvarlo a tu disco duro y posteriormente anali6arlo con un programa de antivirus% Ten cuidado con los archivos 5ue parecen ser comunes$ como los archivos 6ip% lgunos atacantes pueden disfra6ar un archivo s3lo cambiando el icono u ocultando la e&tensi3n del archivo$ por lo 5ue tal ve6 no sepas 5ue es un e"ecutable% LESSON 9 E-MAIL SECURITY 9+&+* Enc#e5%os ;$sos @ ;or6e% :e%ers Ocasionalmente recibir/s correos 5ue parecen ser enviados por alguien 5ue conoces$ o por el 0dministrador1$ 0*ostmaster1 o 0E5uipo de Seguridad1 de tu escuela o IS*% El tema del correo puede ser 07eturned Mail1 o 0!acking ctivity1$ o cual5uier otro tema interesante% Es muy com.n 5ue sea un archivo ane&ado% El problema es 5ue re5uiere alrededor de ;, A LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) segundos de traba"o y poco conocimiento t2cnico para falsear una direcci3n de correo electr3nico Ktambi2n$ dependiendo de donde vivas$ puede ser ilegal%L *ara hacer esto$ haces un cambio simple en la configuraci3n de tu cliente de correo y allJ donde te pregunta teclear tu direcci3n de correo Kba"o Opciones$ Configuraci3n o *referenciasL tecleas cual5uier otra cosa% 4e ahora en adelante todos tus mensa"es tendr/n una direcci3n de remitente falsa% <Esto significa 5ue ya est/s a salvo de ser identificado= (o$ no realmente% Cual5uier persona con la habilidad de leer el encabe6ado de un correo y 5ue realice una b.s5ueda podr/ imaginarse tu identidad a partir de la informaci3n contenida en el encabe6ado% 'o 5ue significa 5ue un spammer puede ser 5uien 2l dese2% *or lo 5ue si Aanni Tyotoku UtelecommunicatecreaturesMco&%netV te vende una antena m/gica para tu celular 5ue resulta ser una ca"a de cereales cubierta por una ho"a de lata$ puedes 5ue"arte directamente con co&%net$ pero no te sorprendas cuando te digan 5ue no e&iste tal usuario% Muchos de los proveedores de internet autentican a los 5ue envJan correos$ lo 5ue significa 5ue debes ser t. 5uien dices ser para enviar un correo a trav2s de su servidor SMT*% El problema radica cuando los hackers y spammers corren un servidor SMT* en su propio ordenador y$ por lo tanto$ no necesitan autenticarse al enviar un correo$ y pueden hacer 5ue lu6ca como ellos deseen% 'a .nica manera segura de saber si un correo sospechoso es legJtimo o no es conocer a 5uien envJa el correo y llamarle% (unca contestes un mensa"e 5ue sospeches ha sido falseado$ ya 5ue le dirJa a 5uien lo envJa 5ue ha alcan6ado una direcci3n e&istente% Tambi2n puedes fi"arte en la informaci3n 5ue aparece en el encabe6ado a fin de determinar de d3nde viene el correo$ tal como aparece en el siguiente e"emplo: Este es un correo electr3nico de alguien 5ue no cono6co$ con un archivo ane&ado sospechoso% (ormalmente borrarJa 2ste correo pero 5uiero saber de d3nde viene realmente% Me fi"o en el encabe6ado% 8tili6o Outlook +,,> como cliente de correo$ y para ver el encabe6ado necesito ir a WerXOpciones y asJ podr2 ver la informaci3n del encabe6ado como aparece aba"o: Microsoft Mail Internet Headers Version 2.0 Received: from srv1.mycompany.com ([192.16.10.!"#$ %y m&1.mycompany.com over '() sec*red c+annel ,it+ Microsoft )M'-)V.(6.0."/90.0$0 Mon1 9 2*3 2004 11:20:1 50/00 Received: from [10.10.205.241] (helo=www.mycompany.com) 9 LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) %y srv1.mycompany.com ,it+ esmtp (6&im 4."0$ id 17*63(50001895a0 Mon1 09 2*3 2004 11:1!:"/ 50/00 Received: from :ara.or3 (6/.10.219.194.ptr.*s.&o.net [6/.10.219.194#$ %y ,,,.mycompany.com (.12.10;.12.10$ ,it+ )M'- id i/9I7<9r0"002 for =sales>mycompany.com?0 Mon1 9 2*3 2004 11:11:"4 50/00 @ate: Mon1 09 2*3 2004 14:1!:"! 50!00 'o: A)alesA =sales>mycompany.com? From: !ale" #"ale"$innovonic".com% )*%Bect: Messa3e5I@: =cd:da%3*rd3ef*pf+nt>mycompany.com? MIM65Version: 1.0 .ontent5'ype: m*ltipart;mi&ed0 %o*ndaryCA55555555cf,rie%,,%nnf::moB3aA D5)can5)i3nat*re: 1/%fa99/4a422!06/4%1924a9c2"! Ret*rn5-at+: sales>innovonics.com D58ri3inal2rrival'ime: 09 2*3 2004 1:20:1.090 (9'.$ EI(6'IM6C [6E6220:01.4/6"@# 5555555555cf,rie%,,%nnf::moB3a .ontent5'ype: te&t;+tml0 c+arsetCA*s5asciiA .ontent5'ransfer56ncodin3: /%it 5555555555cf,rie%,,%nnf::moB3a .ontent5'ype: application;octet5stream0 nameCApriceF0.GipA .ontent5'ransfer56ncodin3: %ase64 .ontent5@isposition: attac+ment0 filenameCApriceF0.GipA 5555555555cf,rie%,,%nnf::moB3aH hora$ la parte en la 5ue estoy interesado est/ subrayada arriba% AJ"ate 5ue el campo de 07eceived1 es de kara%org con una I* 5ue parece ser una lJnea 4S' de &o%net$ la cual no concuerda con innovonics%com$ el supuesto remitente% dem/s$ si busco el servidor de correo innovonics%com utili6ando nslookup$ la direcci3n 5ue me muestra es la siguiente: .:I?nsloo:*p innovonics.com )erver: dc.mycompany.com 2ddress: 192.16.10.!4 Jon5a*t+oritative ans,er: Jame: innovonics.com 2ddress: 64.14".90.9 Entonces$ mi sospecha era correcta$ 2ste es un correo 5ue contiene alg.n malware en un archivo e"ecutable a trav2s de un archivo 6ip% El malware ha infectado la computadora de la persona 5ue tiene la lJnea 4S'$ el cual se conoce como un 6ombie$ ya 5ue envJa copias del malware a todos a5uellos 5ue tiene en su agenda% RQu2 bueno 5ue verifi5u2 2stoS Ejercicios: ;% Citibank y *ay*al son dos de los ob"etivos m/s comunes de correos phishing% Investiga 5u2 est/n haciendo Citibank o *ay*al para evitar)controlar el phishing% +% Investiga si tu banco o emisor de tar"eta de cr2dito ha publicado una declaraci3n acerca del uso de correo e informaci3n personal% >% Kposiblemente tareaL Investiga un correo spam 5ue hayas recibido y mira si puedes determinar cual es la fuente real% -, LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) 9+( U!i$i5ci"n Se6)r %e$ Correo 0r!e &7 En>in%o El envJo de correo es un poco m/s cuidadoso% E&isten algunos puntos 5ue puedes considerar para cerciorarte de 5ue la conversaci3n es segura% El primer punto es asegurarte de 5ue la cone&i3n es segura Kpara mayor informaci3n ver secci3n 9+* Se6)ri%% en $s Cone?ionesL% Tambi2n e&isten m2todos 5ue te permiten firmar de manera digital tus mensa"es$ lo 5ue garanti6a 5ue el mensa"e proviene de tJ y 5ue no ha sido modificado durante el trayecto% H para mayor seguridad$ puedes encriptar tus mensa"es a fin de 5ue nadie pueda leerlos% 'as firmas digitales prueban de d3nde viene el correo$ y 5ue no ha sido alterado en el trayecto% Si adoptas el h/bito de utili6ar firmas digitales para correos importantes$ tendr/s mucha credibilidad en caso de 5ue en alguna ocasi3n tengas 5ue negar alg.n correo falseado 5ue aparente ser tuyo% *T* en particular ofrece niveles de encriptaci3n tan comple"os 5ue re5uieren computadoras de gran potencia para ser descifrados% 9+(+- Cer!ific%os Di6i!$es 8n certificado digital es .nico para cada individuo$ como si fuese una licencia para conducir o un pasaporte$ el cual se compone de + partes$ una llave p.blica y una privada% El certificado es .nico para una persona y tJpicamente los certificados son e&pedidos por una utoridad Certificadora confiable o C% 'a lista de utoridades Certificadoras en 5uien confJas es distribuida autom/ticamente Ksi eres un usuario Microsoft ?indowsL a trav2s de la actuali6aci3n de ?indows$ y la lista es accesible en tu e&plorador a trav2s de: !erramientasXopciones de internetXcontenidoXcertificados% *uedes ir a 2ste apartado para ver los certificados instalados en tu m/5uina Ktuyos o de otrosL y otras autoridades certificadoras en las cuales confJas% -- LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) *uedes deshabilitar la actuali6aci3n autom/tica de Cs$ y elegir 5uitar todos los Cs de la lista$ aun5ue no es recomendable% 'as instrucciones de c3mo hacer esto se encuentra disponible en el sitio web de Microsoft% 9+(+& ;irms Di6i!$es 8na firma digital es generada por tu software de correo usando tu llave privada a fin de garanti6ar la autenticidad del correo% El prop3sito de la firma es doble% El primero es certificar 5ue proviene de ti: es lo 5ue se llama 0no re8)%io1% El segundo es asegurar 5ue el contenido no ha sido alterado$ lo 5ue se llama 0in!e6ri%% %e %!os1% 'a manera en 5ue un programa de correo cumple con este cometido es mediante la e"ecuci3n de un proceso 5ue$ a partir del contenido de tu mensa"e$ genera un resumen del mismo Omessage digest#% Yste .ltimo$ si el algoritmo matem/tico 5ue se utili6a es lo suficientemente fuerte$ posee los siguientes atributos% El mensa"e original no puede ser reproducido a partir del resumen% Cada resumen es .nico% 4espu2s de 5ue el resumen ha sido creado$ es cifrado con tu llave privada% El resumen cifrado es ane&ado al mensa"e original "unto con tu llave p.blica% El recipiente abre el mensa"e$ y el resumen es desencriptado con tu llave p.blica% El resumen es comparado con el resumen id2ntico generado por el programa de correo del recipiente% Si concuerdan$ es correcto% Si no$ tu cliente de correo te avisar/ 5ue el mensa"e ha sido modificado% E&isten + tipos de funci3n de firma)cifrado$ S)MIME y *T*% S)MIME es considerada como la me"or opci3n para el gobierno y corporaciones$ tal ve6 por 5ue utili6a menos recursos del modelo de autenticaci3n de la autoridad certificadora$ y por5ue es de f/cil implantaci3n a trav2s del cliente de Microsoft Outlook E&press% *T* es muy com.n dentro de las comunidades de usuarios finales$ debido a 5ue est/ basada en un es5uema web de confian6a no#centrali6ado$ en donde la confian6a de los usuarios es validada a trav2s de un sistema 0amigo del amigo1$ en el cual acuerdas 5ue$ si tu confJas en mJ$ entonces puedes confiar en a5uellos 5ue yo confJo$ y por5ue los miembros de las comunidades no les interesa si toma cuatro horas el saber como funciona *T* con Thunderbird O ellos consideran este tipo de retos como recreaci3n% -& LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) 9+(+( O#!enien%o )n cer!ific%o Si est/s interesado en obtener un certificado digital o un I4 digital$ necesitas contactar a una utoridad Certificadora KWerisign y thawte son las m/s conocidas$ a pesar de 5ue algunos buscadores pueden encontrar otrasL% mbas re5uieren 5ue les proveas de tu identificaci3n a fin de comprobarles 5ue eres t. 5uien dices ser% *uedes obtener un certificado gratuito de thawte$ pero re5uiere una cantidad significativa de informaci3n personal$ incluyendo identificaci3n oficial Kcomo el pasaporte$ identificaci3n para pago de impuestos o licencia de mane"oL% Werisign pide una cuota por su certificado y re5uiere 5ue pagues esta cuota a trav2s de una tar"eta de cr2dito$ sin embargo pide menos informaci3n% K*resuntamente$ Werisign reenvJa los datos con la compaPJa de la tar"eta de cr2dito a fin de validar tu informaci3n personalL% Estas peticiones de informaci3n pueden parecer intrusivas$ pero recuerda$ est/s pidiendo a 2stas compaPJas 5ue certifi5uen tu confian6a e identidad% H O como siempre O che5uea con tus familiares o representantes antes de proveer cual5uier tipo de informaci3n Ksi no$ tendr/n grandes cargos en sus tar"etas de cr2ditoL% 'a mayor desventa"a al utili6ar una autoridad certificadora es 5ue tu llave privada est/ disponible para un tercero: la autoridad certificadora% H si la autoridad certificadora se ve comprometida$ entonces tu I4 digital est/ comprometido% 9+(+* Encri8!ci"n @ Cifr%o Como una medida adicional de seguridad$ puedes cifrar tu correo electr3nico% El cifrado puede convertir el te&to de tu correo en un lJo mutilado de n.meros y letras 5ue s3lo pueden ser interpretados por a5uellos recipientes confiados% Tus secretos m/s profundos y tu peor poesJa estar/n escondidos para todo el mundo e&cepto para a5uellos o"os en 5uien confJas% Sin embargo$ debes recordar 5ue$ mientras esto te suene atractivo Oy para todos nosotros 5ue no deseamos ser e&puestos a la p2sima poesJa Oalgunos gobiernos no lo aprueban% Sus argumentos pueden o no ser v/lidos Kpuedes discutir esto entre tus amigosL$ pero la valide6 no es el punto% El punto es 5ue$ dependiendo de las leyes del paJs en el 5ue vives$ el envJo de correo cifrado puede ser un crimen$ independientemente del contenido% 9+(+2 .C"mo f)ncion/ 'a encriptaci3n o cifrado es un poco complicada$ por lo 5ue intentar2 e&plicarlo de una manera no muy t2cnica: Gason desea enviar un mensa"e cifrado$ por lo 5ue lo primero 5ue hace Gason es ir con una utoridad Certificadora y obtener un Certificado 4igital% Este Certificado tiene dos partes$ una llave p.blica y una llave privada% Si Gason desea recibir y enviar mensa"es cifrados con su amiga Eira$ ambos deber/n intercambiar sus llaves p.blicas% Si t. obtienes una llave p.blica de una utoridad Certificadora$ en la cual has decidido confiar$ la llave puede ser verificada de manera autom/tica a esa autoridad certificadora% Esto significa 5ue tu programa de correo verificar/ 5ue el certificado es v/lido$ y 5ue no ha sido revocado% Si el certificado no proviene de una autoridad en la 5ue confJas$ o es una llave *T*$ entonces necesitar/s verificar la huella de la llave% TJpicamente esto se hace por separado$ mediante el intercambio cara a cara de la llave o por la huella de los datos% -( LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) sumamos ahora 5ue tanto Eira como Gason est/n utili6ando es5uemas de cifrado compatibles$ y han intercambiado mensa"es firmados% Esto significa 5ue ambos poseen la llave p.blica del otro% Cuando Gason desea enviar un mensa"e cifrado$ el proceso de cifrado comien6a convirtiendo el te&to del mensa"e de Gason en un c3digo pre#enmascarado% Yste c3digo es generado utili6ando una f3rmula matem/tica llamada algoritmo de encriptaci3n% E&isten varios tipos de algoritmos$ sin embargo$ para el correo$ el S)MIME y el *T* son los m/s comunes% El c3digo enmascarado del mensa"e de Gason es cifrado por el programa de correo utili6ando la llave privada de Gason% Entonces$ Gason utili6a la llave p.blica de Eira para cifrar el mensa"e$ por lo 5ue s3lo Eira podr/ desencriptarlo con su llave privada$ terminando asJ el proceso de encriptaci3n% 9+(+3 Desencri8!ci"n hora$ Eira ha recibido el mensa"e cifrado de Gason% Esto tJpicamente se indica con un icono de un candado en la bande"a de entrada de ella% El proceso de desencriptaci3n es mane"ado por el software de correo$ pero lo 5ue hay detr/s es algo como esto: el programa de correo de Eira utili6a su llave privada para descifrar el c3digo encriptado pre# enmascarado y el mensa"e encriptado% Entonces el programa de correo de Eira obtiene la llave p.blica de Gason donde estaba almacenada Krecuerda$ intercambiamos llaves anteriormenteL% Esta llave p.blica es utili6ada para desencriptar el c3digo pre enmascarado del mensa"e% Si el posteo del c3digo enmascarado es igual al c3digo pre enmascarado$ el mensa"e no ha sido alterado durante su trayecto% (ota: si pierdes tu llave privada$ todos tus archivos encriptados no te ser/n .tiles$ por lo 5ue es importante 5ue tengas un procedimiento para reali6ar el respaldo KbackupL tanto de tu llave privada como p.blica% 9+(+< .Es e$ cifr%o irrom8i#$e/ 4e acuerdo a los n.meros el nivel de encriptaci3n ofrecido por$ por e"emplo$ *T* es irrompible% un5ue seguramente un mill3n de computadoras traba"ando para romperlo podrJan eventualmente romperlo de manera e&itosa$ pero no antes de 5ue el mill3n de chimpanc2s terminaran el gui3n para Romeo y Julieta% El n.mero te3rico detr/s de este tipo de encriptaci3n involucra la descomposici3n en factores de los productos de un gran n.mero de n.meros primos y el desafJo del hecho de 5ue los matem/ticos han estudiado los n.meros primos por aPos$ por lo 5ue no hay una manera f/cil de hacerlo% *ero la encriptaci3n y la privacidad es m/s 5ue s3lo n.meros% Sin embargo$ si alguien tiene acceso a tu llave privada$ tendr/ acceso a todos tus archivos encriptados% 'a encriptaci3n s3lo funciona si y s3lo si es parte de un es5uema grande de seguridad$ el cual ofrece protecci3n tanto a tu llave privada como a tu pass#phrase o contrasePa de encriptaci3n)desencriptaci3n% Ejercicios: ;% <'a encriptaci3n de correo es legal en el paJs donde vives= Encuentra otro paJs donde sea legal y otro donde no lo sea% -* LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) +% 'os escritores de ciencia ficci3n han imaginado dos tipos de futuros$ uno en donde la gente vive de manera transparente$ es decir$ sin secretos$ y otro en donde tanto los pensamientos como las comunicaciones de todos son completamente privadas% *hil Zimmerman$ creador de *T*$ cree en la privacidad como una fuente de libertad% 'ee sus pensamientos en <por5u2 necesitas *T*= en http:))www%pgpi%org)doc)whypgp)en)% 'uego$ del escritor de ciencia ficci3n 4avid Drin$ en su artJculo titulado [ *arable about Openness[ 5ue puedes encontrar en http:))www%davidbrin%com)akademos%html$ hace referencia a una serie de puntos donde aboga por la fran5ue6a como una fuente de libertad% 4iscute 2stos dos puntos de vista% <Cu/l prefieres= <Cu/l crees 5ue tendr/ mayor aceptaci3n= <C3mo crees 5ue ser/ el futuro de la privacidad= 9+* Se6)ri%% en $s Cone?iones 'o .ltimo$ pero no menos importante$ es la seguridad en las cone&iones% *ara el correo web$ aseg.rate de utili6ar una cone&i3n SS' hacia tu proveedor de correo% 8n pe5uePo candado deber/ aparecer en la barra de la parte inferior de tu e&plorador% Si est/s utili6ando *O* y un cliente de correo$ aseg.rate de 5ue has configurado tu cliente de correo para utili6ar SS' con *O* en el puerto 99: y SMT* en el puerto -C:% Esto encripta tu correo desde tu m/5uina hasta el servidor$ adem/s de proteger tu usuario y contrasePa *O* ) SMT*% Tu proveedor deber/ tener un how#to en su sitio web para saber como configurarlo% Si no te ofrecen una cone&i3n segura de *O* ) SMT*$ Rcambia de proveedorS Ejercicio: Si tienes una cuenta de correo electr3nico$ averigua si tu cuenta est/ utili6ando una cone&i3n SS'% <C3mo verificarJas esto en tu cliente de correo= <Tu proveedor proporciona informaci3n sobre una cone&i3n SS'= LESSON 9 E-MAIL SECURITY -2 LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL) Lec!)rs Recomen%%s <lguien puede leer mi correo electr3nico= http:))www%research%att%com)\smb)securemail%html */gina libre de *T* del MIT http:))web%mit%edu)network)pgp%html (oticias generales sobre aspectos de privacidad en la Internet: Centro de Informaci3n de *rivacidad Electr3nica http:))www%epic%org) y Electronic Arontier Aoundation http:))www%eff%org) M/s acerca de *T* http:))www%openpgp%org)inde&%shtml <C3mo el leer un E#mail puede comprometer tu *rivacidad= http:))email%about%com)od)staysecureandprivate)a)webbug]privacy%htm Evitando los Wirus del E#mail http:))www%ethanwiner%com)virus%html 8na breve descripci3n de preguntas de seguridad en E#mail Kcon un pe5uePo aviso al finalL http:))www%66ee%com)email#security) 8na breve descripci3n de preguntas de seguridad en E#mail Ksin avisoL http:))www%claymania%com)safe#he&%html *recauciones de E#mail basado en ?indows http:))www%windowsecurity%com)articles)*rotecting]Email]Wiruses]Malware%html http:))computer#techs%home%att%net)email]safety%htm 4iferencias Entre Wirus de 'inu& y ?indows Kcon informaci3n sobre por5u2 los programas de E# mail de 'inu& son m/s segurosL http:))www%theregister%co%uk)+,,>);,),C)linu&]vs]windows]viruses) -3 LECCIN 9 ' SEGURIDAD DEL CORREO ELECTRNICO (E-MAIL)