Ingeniería social

I. Introducción y objetivos

II. Conocimiento sobre los protocolos SPF, DKIM y DMARC. Búsquedas avanzadas en internet

III. Identidades digitales

IV. CEO Fraud: Casos más comunes

V. SPF, DKIM y DMARC

VI. Repaso nal

VII. Caso práctico con solución

VIII. Lecturas recomendadas

IX. Enlaces de interés

X. Glosario
Lección 1 de 10

I. Introducción y objetivos

1.1. Introducción de la unidad

La ingeniería social se puede definir como el conjunto de técnicas utilizadas para manipular a potenciales
víctimas y obtener, de esta manera, la información deseada o conseguir que estas realicen alguna acción
que conlleve al compromiso del sistema, de los datos confidenciales, etc.

En internet la ingeniería social se ha utilizado desde siempre para perseguir fines tanto legales como
ilegales, ya que es una técnica que permite obtener una gran cantidad de información de los objetivos sin
necesidad de grandes conocimientos técnicos ni del uso de muchas herramientas. Esto es debido a que los
eslabones más débiles de la cadena de seguridad son los usuarios.
Es una amenaza que hay que tener muy en cuenta debido a que su uso es muy común: tanto en campañas
de carácter masivo, en las que se busca el máximo número de víctimas por el volumen de la propia campaña
y no se da importancia al porcentaje de éxito, como en campañas dirigidas, en las que se realiza un estudio
previo muy importante del objetivo, lo que supone una complejidad de la amenaza no solo por la información
que es requerida para llevarla a cabo, sino por el tiempo que puede requerir su éxito.

Las campañas dirigidas, por lo general, no suelen utilizarse tanto para distribuir malware o phishing como
para campañas de CEO fraud o de suplantación a otras compañías con el fin de obtener información, siendo
por norma general la propia víctima quien la revela-a veces, incluso, realizando transferencias a cuentas
mula facilitadas por el propio atacante-.

Para conocer en profundidad cómo funciona esta amenaza y qué se puede hacer para mitigarla, a lo largo de
esta unidad se estudiarán distintos protocolos, como SPF, DKIM o DMARC.

C O NT I NU A R

1.2. Objetivos de la unidad

Esta unidad tratará de exponer los casos más comunes en los que se utiliza la ingeniería social. Así, los
alumnos aprenderán desde cómo se obtienen datos del objetivo hasta las distintas técnicas de uso.

Es importante que los analistas de ciberinteligencia conozcan de qué forma trabajan los atacantes y cómo
se puede recabar la máxima información posible sobre ellos, ya sea en buscadores generales o en la
internet profunda.

1 Identificar los casos más comunes de ingeniería social.

2 Utilizar las herramientas de los propios navegadores para crear huellas digitales.

3 Comprender la cantidad de información expuesta tanto para personas como para compañías.

4 Conocer los casos exitosos de ingeniería social o CEO fraud.

5 Aprender las distintas vías de creación de identidades digitales.

6 Determinar las herramientas que facilitan la distribución de correos electrónicos maliciosos.

Lección 2 de 10

II. Conocimiento sobre los protocolos SPF, DKIM y

DMARC. Búsquedas avanzadas en internet

Para obtener información de interés de una potencial víctima es importante

realizar búsquedas complejas en internet, ya que, a través de la gran cantidad de
información pública que existe hoy en día, se pueden identificar los intereses que
permitirán captar su atención.

Una búsqueda que aportará mucha información es la que se realiza sobre el

propio buscador (por ejemplo, Google). Para ello, se utilizarán los Google Dorks.

Modo de búsqueda Descripción

Se buscará cualquier sitio web donde aparezcan datos de

Búsqueda entre comillas la potencial víctima (prueba a buscar tu “Nombre Apellido1
Apellido2”)

Devolverá la información de la víctima en el sitio web o en

Búsqueda entre comillas +
las redes sociales deseados (site:linkedin.com “Nombre
búsqueda por Site
Apellido1 Apellido2”)

Búsqueda entre comillas + Devolverá todos los resultados que tengan la búsqueda
completa en la URL (inurl:”Nombre Apellido1 Apellido2”)
búsqueda por Inurl
 Búsqueda entre comillas + Devolverá lo mismo que la búsqueda anterior, pero en el
búsqueda por Intitle título (intitle:”Nombre Apellido1 Apellido2”)

Búsqueda entre comillas + Devolverá lo mismo que la búsqueda anterior, pero en el

búsqueda por Intext texto del sitio web (intext:”Nombre Apellido1 Apellido2”)

Devolverá todos los resultados que incluyan el string en el

Búsqueda entre comillas +
tipo de archivo especificado (filetype:pdf “Nombre
búsqueda por Filetype
Apellido1 Apellido2”)

Tabla 1. Google Hacking.

Fuente: elaboración propia.

C O NT I NU A R

En las siguientes imágenes se muestra la respuesta a dichas búsquedas sobre un objetivo (el cual, por
razones de privacidad, se ha anonimizado). Únicamente con una búsqueda entre comillas del nombre y los
apellidos del objetivo se reciben tres páginas de valiosa información en el buscador, entre las que se puede
apreciar, por ejemplo, que el objetivo es profesor de un curso, el tipo de música que escucha, sus perfiles en
redes sociales, las noticias que ha publicado, el deporte que practica…
 Figura 1. Respuesta de la búsqueda realizada sobre el objetivo utilizando las
comillas.
Fuente: elaboración propia.

Si de esta búsqueda se quiere recabar información de algún sitio web en concreto -como, por ejemplo, la red
social de empleo LinkedIn-, se puede utilizar la string Site.

Con esta búsqueda, rápidamente se puede encontrar su perfil, sus imágenes, la empresa en la que trabaja,
sus contactos y sus relaciones laborales, además de un sinfín de opciones que aportan información para el
uso de la ingeniería social.
 Figura 2. Resultado de la búsqueda realizada sobre el objetivo utilizando la string
Site.
Fuente: elaboración propia.

C O NT I NU A R

En la obtención de información del objetivo también puede ayudar la string Inurl, puesto que identificar su
nombre en una URL permitirá acceder a los sitios web en los que el objetivo sea el principal tema de
información.

Como se puede ver en la siguiente imagen, esta búsqueda muestra que el objetivo es un analista de
malware que, además, parece mostrarse afincado en Madrid (España) y suele realizar carreras. Incluso se
pueden ver sus tiempos, una información muy valiosa para utilizar como cebo.
 Figura 3. Resultado de la búsqueda realizada sobre el objetivo utilizando la string
Inurl.
Fuente: elaboración propia.

C O NT I NU A R

Otra búsqueda muy similar a la anterior, pero que, en vez de mostrar el resultado sobre la URL, lo muestra
sobre el título del sitio web es la que se realiza con la string Intitle. El resultado, en la mayoría de los casos,
es muy similar, aunque aporta otro tipo de entradas, como foros, noticias y sitios web en los que el usuario
interactúa.

Esta búsqueda muestra otro deporte practicado por el objetivo e incluso el equipo en el que participa.
Asimismo, ofrece perfiles en redes sociales o sitios web que no se mostraban en otras búsquedas.

Figura 4. Resultado de la búsqueda realizada sobre el objetivo utilizando la string

Intitle.
Fuente: elaboración propia.

C O NT I NU A R
La siguiente búsqueda, en la que se utiliza la string Intext, es la que aporta más información sobre el
objetivo, por lo que es recomendable que sea una de las primeras en realizarse. Utilizando Intext, el buscador
devuelve todos los sitios web en los que se encuentra la cadena buscada -en nuestro caso, todos los sitios
web en cuyo contenido aparece el nombre del objetivo-.

Esta es una búsqueda en la que merece la pena invertir tiempo para analizar los resultados, ya que aportará
fechas, noticias e información muy detallada que podrán ser utilizadas en el contacto avanzado con el
objetivo.

En las siguientes imágenes se puede observar como la búsqueda devuelve más información sobre los
deportes practicados por el objetivo, entre la que se encuentran fechas de partidos, resultados, premios e
incluso un número de teléfono, una información de incalculable valor para la ingeniería social.
Figura 5. Resultado de la búsqueda realizada sobre el objetivo utilizando la string
intext (I).
Fuente: elaboración propia.
 Figura 6. Resultado de la búsqueda realizada sobre el objetivo utilizando la string
Intext (II).
Fuente: elaboración propia.

C O NT I NU A R

Una última búsqueda que permitirá obtener información del objetivo es la búsqueda por ficheros a través de
la string Filetype. Aunque a nivel personal no aporta gran información, en el caso de que se quieran obtener
datos sobre entidades o localizar documentos sensibles suele ser muy exitosa.

En este caso, en la búsqueda realizada sobre ficheros PDF que contengan el nombre del objetivo
únicamente se obtienen resultados que ya se han podido apreciar en cualquiera de las búsquedas
anteriores.
 Figura 7. Resultado de la búsqueda realizada sobre el objetivo utilizando la
string Filetype.
Fuente: elaboración propia.

Analizando el resultado de todas estas búsquedas simples que se han realizado en el propio motor del
buscador se obtiene información suficiente para utilizar la ingeniería social con casi cualquier objetivo.

Dado que no es posible emplear tanto tiempo siempre que se quiera obtener información sobre un objetivo,
es interesante la elaboración de algún script básico que permita realizar todas estas búsquedas tras facilitar
únicamente la cadena que se quiere utilizar.
Lección 3 de 10

III. Identidades digitales

A la hora de adentrarse en un foro, establecer relaciones, registrarse en distintos sitios y redes sociales,
etc., con el fin de recabar información o realizar una investigación es crucial disponer de identidades
digitales completas que permitan mantener un comportamiento específico para cada una de ellas y que se
asemejen lo máximo posible a una identidad digital de un usuario real.

Esto se debe a que, cuando lo que se pretende es adentrarse, por ejemplo, en un foro donde se comparte
información delicada, los usuarios con acceso son muy limitados y se realiza un estudio en profundidad
sobre cada uno de ellos, por lo que, si se detecta que una cuenta está siendo utilizada por diversos usuarios,
el comportamiento es sospechoso o no aporta información, se le restringe el acceso y se pierde toda la
información que se comparta dentro.

De igual manera, al intentar comunicarse con un atacante o víctima es necesario disponer de una identidad
digital que permita ofrecer toda la confianza posible para continuar con el vínculo y poder seguir con el
objetivo.

En el momento de crear estas identidades digitales es importante tener en cuenta que todas ellas deben ir
respaldadas por cuentas de correo electrónico, Jabber, redes sociales en algún caso, etc. Eso quiere decir
que, en algún momento, se crearon estas cuentas y se utilizó un navegador, una dirección IP, un número de
teléfono o una cuenta de correo, etc., lo que supone dos cosas:

1 2
Hay que tratar, en la medida de lo posible, de anonimizar las conexiones desde el primer momento
ocultando siempre nuestra dirección IP, user-agent, referers, etc.

1 2

Una vez que se ha creado la cuenta deseada, es importante utilizar -siempre que se vaya a acceder a ella- la
misma dirección IP y user-agent del momento de creación para evitar generar alertas en los proveedores
del servicio.

C O NT I NU A R

Hay varias herramientas y sitios web que se pueden utilizar como base para la creación de las identidades
digitales:

1. Udger
Ofrece un listado de user-agent válidos de distintos navegadores.
 Figura 8. Listado de user-agent para Microsoft Edge.
Fuente: elaboración propia.

C O NT I NU A R

2. Fake Name Generator

Facilita la creación de una identidad digital falsa con una gran cantidad de detalles.

Figura 9. Creación de identidad digital automática I.

Fuente: elaboración propia.
Figura 10. Creación de identidad digital automática II.
Fuente: elaboración propia.
Figura 11. Creación de identidad digital automática III.
Fuente: elaboración propia.

C O NT I NU A R
3. CIPRG
Muestra rangos de direcciones IP por países.

Figura 12. Rango de direcciones IP de España

Fuente: elaboración propia.

C O NT I NU A R

4. Mailinator
Permite utilizar buzones de cuentas de correo electrónico sin necesidad de registro, aunque son de dominio
público.
 Figura 13. Mailinator.
Fuente: elaboración propia.

Figura 14. Mailinator inbox.

Fuente: elaboración propia.

C O NT I NU A R

5. Spam Gourmet
Portal que recibe los correos enviados y, de manera privada, los redirige a la cuenta de correo asignada.

6. Sharpmail
Portal que permite enviar correos electrónicos de manera anónima.

7. Receive SMS Online

Portales de dominio público que permiten la recepción de SMS sin número registrado.

Figura 15. SMS recibidos en el portal "sms-online.co".

Fuente: elaboración propia.

C O NT I NU A R

Como estas opciones mencionadas, hay un sinfín de herramientas y portales, aunque es importante acceder
de manera anónima a cada uno de ellos y tomar precauciones, puesto que, debido a diversas
vulnerabilidades, estas herramientas también pueden ser traceables.

Otro de los puntos que hay que tener en cuenta es disponer de tarjetas SIM de prepago, aunque es difícil
obtenerlas sin facilitar un documento nacional de identidad.

Una vez creadas estas identidades digitales, ya se está en disposición de adentrarse, por ejemplo, en foros y
mercados donde se comparte información comprometida.
Lección 4 de 10

IV. CEO Fraud: Casos más comunes

Aunque la ingeniería social es utilizada en muchas tipologías distintas de fraude como vector de entrada
para tratar de aumentar el éxito en las campañas, hay ciertos tipos de fraude que se basan exclusivamente
en el mal uso de esta técnica.

Entre estos fraudes, el más popular actualmente es el CEO fraud -que se detallará a continuación-, aunque
también hay muchos otros casos en los que, simplemente, se realiza un estudio digital de un objetivo (ya
sea un particular o una empresa) y se estructura el ataque en función del vector de entrada más débil que se
haya encontrado.

El CEO fraud es un tipo de fraude en el que se suplanta al director ejecutivo de una empresa para instar -
mediante la presión que un alto cargo puede ejercer- a un empleado que disponga de acceso a la
contabilidad o a las transferencias de la compañía a realizar pagos de manera urgente y confidencial.

¿Por qué se utiliza este tipo de fraude? La respuesta es simple: se puede llevar
a cabo sin apenas conocimiento técnico, de manera rápida, frente a cualquier
compañía y sin dedicarle prácticamente recursos.

¿Cuáles son los motivos del éxito de este tipo de fraude? Estos cuatro
términos lo definen perfectamente: miedo, amenaza, expectativa y curiosidad.
Aunque todos piensan que en ningún caso podrían ser víctimas de un fraude
de este tipo, es uno de los que mayor éxito tienen.
Para comprender mejor en qué se basa el fraude del CEO y sus características se va a presentar una
investigación contra una compañía y su director ejecutivo; en este caso, contra Tom Kemp, CEO de Centrify,
que fue víctima de un fraude de este tipo, como él mismo ha mencionado en infinidad de ocasiones,

llegando incluso a plasmarlo en un blog.1 En él pueden verse exactamente los correos del fraude real y
anima a poner su caso como ejemplo para luchar contra esta estafa.

1Kemp, T. CEO fraud: A First Hand Encouter. Centrify; 2015. 

C O NT I NU A R
 Figura 16. Director ejecutivo de la compañía Centrify.
Fuente: elaboración propia.

En primer lugar, basta con hacer una simple búsqueda en Google para conocer quién es el director ejecutivo
de la compañía Centrify.

Tenemos el primer dato:

Nombre del director ejecutivo: Tom Kemp.

LinkedIn del director ejecutivo: https://www.linkedin.com/in/tomkemp

 C O NT I NU A R

Figura 17.  CFO de la compañía Centrify.

Fuente: elaboración propia.

Para dar más credibilidad a la situación -dado que puede ser algo inusual que un director ejecutivo contacte

directamente con el Departamento de Finanzas-, se procede a identificar al director financiero (CFO)

de la empresa mediante otra búsqueda simple.

Datos obtenidos:

Nombre del director ejecutivo: Tom Kemp.

LinkedIn del director ejecutivo: https://www.linkedin.com/in/tomkemp

Nombre del director financiero: Tim Steinkopf.

LinkedIn del director financiero: https://www.linkedin.com/in/tim-steinkopf-00899b5

C O NT I NU A R
 Figura 18. Obtención de la cuenta de correo del director ejecutivo.
Fuente: elaboración propia.

El siguiente paso en la investigación es identificar la estructura de los correos

electrónicos que utilizan en Centrify. Para ello, es posible utilizar miles de
fórmulas, aunque con hacer una búsqueda rápida que permita enlazar a Tom
Kemp con una dirección de correo de Centrify se muestra su cuenta.

Este hallazgo permite identificar, además de la cuenta de correo del director ejecutivo, la estructura que
utiliza dicha compañía para la creación de correos electrónicos (“<nombre>.<apellido>@centrify.com”), lo
que facilita obtener la cuenta de casi cualquier empleado.

Datos obtenidos:

Nombre del director ejecutivo: Tom Kemp.

LinkedIn del director ejecutivo: https://www.linkedin.com/in/tomkemp.

Correo del director ejecutivo: tom.kemp@centrify.com.

Nombre del director financiero: Tim Steinkopf.

LinkedIn del director financiero: https://www.linkedin.com/in/tim-steinkopf-00899b5.

 Correo del director financiero: tim.steinkopf@centrify.com.

C O NT I NU A R

Una vez obtenida esta información, es necesario conocer el nombre y la dirección de correo electrónico de
algún empleado que trabaje en el Departamento de Finanzas y que, por tanto, disponga de acceso a la
realización de transferencias.

Para ello pueden utilizarse distintas técnicas de búsqueda, como navegar por la propia red de LinkedIn o
volver a realizar una búsqueda a través de Google. En este caso, se ha utilizado la búsqueda en Google
“site:linkedin.com centrify finance”, la cual ofrece, entre mucha más información de interés, el nombre de
una persona que trabaja en el Departamento de Finanzas de Centrify:

Figura 19. Empleado del Departamento de Finanzas de Centrify I.

Fuente: elaboración propia.
 Figura 20. Empleado del Departamento de Finanzas de Centrify II.
Fuente: elaboración propia.

Por tanto, estos datos permiten establecer la relación completa para solicitar la transferencia de manera
urgente.

Datos obtenidos:

Nombre del director ejecutivo: Tom Kemp.

LinkedIn del director ejecutivo: https://www.linkedin.com/in/tomkemp.

Correo del director ejecutivo: tom.kemp@centrify.com.

Nombre del director financiero: Tim Steinkopf.

LinkedIn del director financiero: https://www.linkedin.com/in/tim-steinkopf-00899b5.

Correo del director financiero: tim.steinkopf@centrify.com.

 Correo del empleado de Finanzas: d****.r********@centrify.com.

C O NT I NU A R

En este punto, hay que generar un correo que sea un reenvío de otro recibido anteriormente por el director
ejecutivo donde se solicite de manera urgente que se realice una transferencia por un motivo crítico y
confidencial.

D****,
Please make urgent the following payment.
I have limited access to this email, contact me through my personal account
"t.speinkopf.5657@mail.com".
I trust your discretion, it's confidential.
From: Kemp, Tom.
Sent: Monday, April 2, 2018 02:17 PM.
To: Steinkopf, Tim <tim.speinkopf@centrify.com>.
Subject: Urgent and confidential payment.

Tim,

We are in a critical negotiation and have to make a payment of $55496 to the following account with the
concept: payment centrify - confidential.

CC: 1234 12 1234 5678 9123 4567

It's strictly confidential.

It's urgent, please, it must be done before 3:00 p. m.
 C O NT I NU A R

De este modo, se da a la víctima un periodo de tiempo muy pequeño para reaccionar (alrededor de 30
minutos) y, mediante la urgencia y las expectativas tras recibir un correo directo de un alto cargo en el que se
solicita discreción y buen hacer para que una supuesta negociación llegue a buen puerto, se fuerza a que el
pago ilegítimo se realice.

El último punto de este fraude es enviar el mensaje mediante la suplantación del correo electrónico del
director financiero, para lo que se empleará la técnica de email spoofing. El término spoofing se refiere a las
técnicas utilizadas para la suplantación de identidad (DNS spoofing, IP spoofing, ARP spoofing, email
spoofing…). En este caso, se utiliza la de email spoofing, que es la suplantación de una cuenta de correo
electrónico para el envío de mensajes maliciosos.

Para llevar a cabo esta técnica existen muchas posibilidades, aunque, al fin y al cabo, basta con disponer de
un host en el que se habilite SMTP y añadir un simple código PHP en cuyas cabeceras se indique la cuenta
que se pretende suplantar.

$body = ‘<p> D****,

 
Please make urgent the following payment.
 I have limited access to this email, contact me through my personal account
"t.speinkopf.5657@mail.com".
 
I trust your discretion, it's confidential.
 
From: Kemp, Tom.
Sent: Monday, April 2, 2018 02:17 PM.
To: Steinkopf, Tim <tim.speinkopf@centrify.com>.
Subject: Urgent and confidential payment.
 
Tim,
 
We are in a critical negotiation and have to make a payment of $55496 to the following account with the
concept: payment centrify - confidential.
 
CC: 1234 12 1234 5678 9123 4567
 
It's strictly confidential.
It's urgent, please, it must be done before 3:00 p.m.’</p>;
 
$header = “Content-type: text/html; charset=utf-8″ .”\r\n”;$header .= “From: tim.speinkopf @centrify.com”;
mail(“d****.r********@centrify.com”,”FW: Urgent and confidential payment”,$body,$header);

De esta forma, se envía un correo electrónico en el que se suplanta, a simple vista, la cuenta del director
financiero. No obstante, en el caso de que la víctima acceda al código de las cabeceras, sería capaz de
detectar la suplantación.
C O NT I NU A R
Lección 5 de 10

V. SPF, DKIM y DMARC

Una vez conocidas algunas de las distintas tipologías de fraude que pueden llevar a cabo los atacantes tras
recabar información sobre sus potenciales víctimas, el siguiente paso sería tratar de proteger a la empresa
de estos tipos de ataques y de otros similares.

Para la protección a través del correo electrónico existen varios protocolos que se hacen indispensables a la
hora de determinar si se está haciendo un uso correcto en el envío, así como la legitimidad de un correo
electrónico o la detección de una suplantación.

C O NT I NU A R

5.1. SPF (Sender Policy Framework)

Permite al propietario de un dominio especificar qué servidores están autorizados a enviar correos
electrónicos con su dominio en el “Mail From: email address”. Ofrece la posibilidad a los receptores de
consultar los DNS para obtener el listado de autorizados para un dominio en concreto. Si el mensaje de
correo procede de un servidor autorizado, el receptor puede asumir la autenticidad del mensaje.

Las respuestas que se pueden dar a una consulta del SPF son las siguientes:

None
–
No se encontró ningún registro SPF para el dominio.

Neutral
–
El propietario del dominio declaró en el registro SPF que no desea afirmar que la dirección IP está autorizada
a enviar desde el dominio.

Pass
–
La dirección IP está autorizada para enviar desde el dominio.

Fail
–
La dirección IP no está autorizada para enviar desde el dominio. El registro SPF no contiene el servidor de
envío ni la dirección IP utilizada para enviar correos electrónicos al proveedor del buzón.

So fail
–
La dirección IP puede o no estar autorizada para enviar desde el dominio.

Temperror
–
Ocurrió un error temporal durante el proceso de verificación SPF. Este resultado se debe, a menudo, a
cuestiones técnicas que tuvieron lugar durante el proceso de verificación. Los temperror no significan
necesariamente que el registro SPF no sea válido.

Permerror
–
El registro SPF publicado no pudo ser verificado por el proveedor del buzón.

C O NT I NU A R

A la hora de configurar este protocolo en el registro TXT, hay que tener en cuenta los siguientes valores:

v
–
Versión de SPF utilizada.

a
–
Declara la IP a la cual resuelve un dominio (normalmente se deja en blanco para asignar la IP del dominio).
ptr
–
Se asegura de que la IP está bien configurada.

mx
–
Declara la IP a la que resuelve el registro MX (normalmente se deja en blanco para asignar la del dominio).

include
–
Incluye el registro SPF de un dominio en otro.

ip4
–
Declara una IP específica.

ip6
–
Declara una IPv6 en vez de una IPv4.
all
–
Es el que indica qué hacer con un correo que llega desde una IP que no ha sido indicada en el registro.

+ (pass): si no se pone ningún valor, este es el que se utiliza por defecto. Indica que las direcciones IP
declaradas están autorizadas para enviar correos desde el dominio.

- (fail): indica que las direcciones IP declaradas no están autorizadas para enviar correos desde el
dominio y que los correos deben rechazarse.

~ (softfail): indica que las direcciones IP declaradas no están autorizadas para enviar correos desde el
dominio, pero que puede que lo estén más adelante, por lo que los correos deben aceptarse como
sospechosos.

? (neutral): se recomienda aceptar los correos, ya que no se tiene ninguna información acerca de las
IP declaradas.

C O NT I NU A R

Para entenderlo mejor, se presenta el siguiente ejemplo:

“deloitte.es.                478         IN           TXT        "v=spf1 ip4:185.90.28.0/24 ip4:62.14.236.154

ip4:170.194.0.0/16 ip4:68.232.128.0/19 ip4:155.56.221.13 ip4:155.56.221.14 -all".
Este registro indica que, además de la dirección IP a la que resuelve el dominio “Deloitte.es”, los rangos de
direcciones IP declarados están aceptados para el envío de correos, pero cualquier otro correo que utilice el
nombre “Deloitte.es” y no salga de ninguna de las direcciones declaradas debe ser rechazado.

La comprobación del registro TXT de un dominio es pública, y es tan fácil como lanzar este comando, entre
otras muchas opciones:

Figura 21. Comprobación registro TXT (SPF) del dominio “Deloitte.es”.

Fuente: elaboración propia.

C O NT I NU E

5.2. DKIM (Domainskeys Identified Mail)

Mediante el uso de la criptografía, permite asociar un nombre de dominio con un mensaje de correo
electrónico. Los remitentes insertan una firma digital criptográfica en los mensajes de correo para que los
receptores puedan verificarla mediante la consulta de la clave pública en los DNS. Si la verificación es
exitosa, DKIM proporciona un identificador de nivel de dominio fiable que sobrevive al reenvío (a diferencia
de SPF).
Las respuestas que se pueden dar a una consulta de DKIM son las siguientes:

None
–
El mensaje no estaba bien firmado.

Neutral
–
El mensaje estaba firmado, pero la firma o firmas contenían errores de sintaxis o no podían procesarse de
otro modo.

Pass
–
El mensaje fue firmado y la firma o firmas fueron aceptadas y pasaron las pruebas de verificación.

Fail
–
El mensaje estaba firmado y la firma o firmas fueron aceptadas, pero no superaron la prueba de
verificación.

Policy
–
El mensaje estaba firmado, pero la firma o firmas no fueron aceptadas.

Temperror
–
El mensaje no se pudo verificar debido a algún error que probablemente sea de naturaleza transitoria, como
la incapacidad temporal de recuperar una clave pública. Un intento posterior puede producir un resultado
final.

Permerror
–
El mensaje no se pudo verificar debido a algún error que es irrecuperable, como la ausencia de un campo de
encabezado obligatorio. Es poco probable que un intento posterior produzca un resultado final.

C O NT I NU A R

5.3. DMARC (Domain-based Message Authentication,

Reporting & Conformance)
Este estándar trabaja en conjunción con SPF y DKIM, permite al propietario de un dominio obtener visibilidad
y control sobre el correo electrónico enviado en su nombre y especifica qué métodos de autenticación están
en uso y cómo los receptores del correo deben manejarlo si dichos métodos de autenticación fallan.

En la siguiente imagen se muestra un esquema resumido del funcionamiento de DMARC con el fin de

facilitar su comprensión.
Figura 22. Diagrama explicativo del flujo de DMARC.
Fuente: elaboración propia.

C O NT I NU A R
Como beneficio adicional, los ISP (internet service provider) envían un reporte de los correos electrónicos
que no superan la validación de las cuentas configuradas con el objetivo de que se pueda identificar si se
trata de casos de suplantación, de phishing o, simplemente, de una mala configuración que permite estudiar
la volumetría frente a los logs del MTA (mail transfer agent).

De cara a la implementación de DMARC, es muy importante tener bien configurados y bajo total control los
dominios que se utilizan para el envío de correos electrónicos, ya que, si se implementa DMARC, pero no
SPF y DKIM, se corre el riesgo de bloquear los propios correos electrónicos.

Los reportes de DMARC pueden llegar en dos formatos: RUA (reporting URI of aggregate reports) o RUF
(reporting URI of forensics reports).

C O NT I NU A R

5.3.1. RUA
Como se ha indicado previamente, mediante la utilización de criptografía, permite asociar un nombre de
dominio con un mensaje de correo. Los remitentes insertan una firma digital criptográfica en los mensajes
de correo para que los receptores puedan verificarla mediante la consulta de la clave pública en los DNS. Si
la verificación es exitosa, DKIM proporciona un identificador de nivel de dominio fiable que sobrevive al
reenvío (a diferencia de SPF).

Este tipo de reportes consisten en un fichero comprimido que contiene múltiples ficheros en los que se
incluyen los siguientes datos de los correos electrónicos:
 Figura 23. Ejemplo de reporte RUA
Fuente: elaboración propia.

De esta manera, se pueden obtener estadísticas y la volumetría de la cantidad de correos que se envían
utilizando el dominio indicado. Además, es posible indicar cuáles de ellos superan las validaciones SPF y
DKIM.

De estos datos se puede extraer información tan valiosa como a qué ISP se envían más correos, desde qué
direcciones IP, desde qué país, la estadística de validación…
Figura 24. Ejemplo de visualización (splunk) de la volumetría ofrecida en los
reportes de DMARC (I).
Fuente: elaboración propia.

Figura 25. Ejemplo de visualización (splunk) de la volumetría ofrecida en los

reportes de DMARC (II).
Fuente: elaboración propia.
 Figura 26. Ejemplo de visualización (splunk) de la volumetría ofrecida en los
reportes de DMARC (III).
Fuente: elaboración propia.

C O NT I NU A R

5.3.2. RUF
Este estándar trabaja en conjunción con SPF y DKIM y permite al propietario de un dominio obtener
visibilidad y control sobre el correo electrónico enviado en su nombre. Especifica qué métodos de
autenticación están en uso y cómo los receptores del correo deben manejarlo si dichos métodos de
autenticación fallan.

Estos reportes son los más completos, ya que son una copia del propio correo electrónico. No obstante, son
muy pocos los ISP que envían esta información, probablemente por la actual ley de protección de datos.

En este protocolo también es muy importante conocer los valores que se obtienen en la respuesta:
v
–
Versión del protocolo.

p
–
Política del dominio.

None: no realiza ninguna acción específica en los correos.

Quarantine: deja en cuarentena los correos en los que las verificaciones fallen.

Reject: rechaza los correos en los que las verificaciones fallen.

pct
–
Porcentaje de correos sujetos a filtrado.

fo
–
Indica qué tipo de mensajes son los deseados.

0: genera un report de fallo si SPF y DKIM son fail.

1: genera un report de fallo si SPF o DKIM son fail.

d: genera un report de fallo si DKIM es fail.

s: genera un report de fallo si SPF es fail.

rua
–
Direcciones a las que se deben enviar los informes RUA.

ruf
–
Direcciones a las que se deben enviar los informes RUF.

aspf
–
Modo de alineación para SPF.

adkim
–
Modo de alineación para DKIM.

rf
–
Formato de los mensajes de fallo.
ri
–
Tiempo (en segundos) hasta que se envíe el report al remitente.

C O NT I NU A R

A la hora de comprobar si un dominio dispone de una configuración de DMARC, basta con consultar su
registro TXT:

Figura 27. Comprobación de registro TXT (DMARC) del dominio Deloitte.es

Fuente: elaboración propia.
Lección 6 de 10

VI. Repaso final

La ingeniería social permite obtener información valiosísima para un atacante, ya que no requiere poseer
conocimientos extensos ni muchos recursos para obtener resultados fructíferos.

Como se ha visto, es posible obtener información de una posible víctima utilizando simples dorks en
Google. Los datos obtenidos pueden emplearse para llevar a cabo ataques contra objetivos muy
variados, aunque antes de nada es necesario tomar una serie de medidas de precaución. Una de estas
medidas es la creación de una identidad digital, proceso que, como se acaba de ver, es extremadamente
sencillo si se cuenta con los cientos de recursos online disponibles.
Con la información obtenida y una identidad falsa se puede llevar a cabo la suplantación de identidad, por
ejemplo, del director ejecutivo de una empresa. Como se ha visto, es una situación muy real que le
ocurre, incluso, a los directivos de grandes empresas.

Vigilar la información personal en internet y prestar atención a correos electrónicos o comunicaciones

extrañas dentro de nuestro entorno empresarial son medidas que se deberían tener en cuenta, ya que
podría tratarse de un intento de estafa.
Lección 7 de 10

VII. Caso práctico con solución

Aplica los conocimientos adquiridos en esta unidad

Caso práctico 1

ENUNCIADO

Con la información facilitada, realiza búsquedas similares sobre las respuestas del buscador para
tratar de identificar el objetivo utilizado en las imágenes.
 Elabora un pequeño script con el que, tras introducir un objetivo, se realicen todas las búsquedas
mostradas en los puntos anteriores y se guarde la información en un archivo de texto.

VER SOLUCIÓN

SOLUCIÓN

A lo largo del apartado Búsquedas avanzadas en internet se encuentran los pasos a seguir para realizar
la búsqueda y el script que se plantea en el ejercicio.

C O NT I NU A R
Caso práctico 2

ENUNCIADO

Crea distintas identidades digitales completas (nombre, cuenta de correo, cuenta de Jabber, etc.) que
permitan realizar actividades anónimas en los puntos siguientes.

VER SOLUCIÓN

SOLUCIÓN

A lo largo del apartado Identidades digitales se encuentran los pasos a seguir para crear las distintas
identidades digitales que se plantean en el ejercicio propuesto.
 C O NT I NU A R

Caso práctico 3

ENUNCIADO

Realiza un estudio completo de tu compañía (u otra, en su defecto) que aborde todos los posibles
vectores de ataque de ingeniería social explicados en los puntos anteriores.

VER SOLUCIÓN
SOLUCIÓN

A lo largo del apartado SPF, DKIM y DMARC se encuentran los pasos a seguir para realizar el estudio de
una compañía.
Lección 8 de 10

VIII. Lecturas recomendadas

Recepción de SMS sin número. Receive SMS Online; s. f. 

Kemp, T. CEO Fraud: A First Hand Encounter. Centrify; 2015. 

Lección 9 de 10

IX. Enlaces de interés

Listado de user-agent. Udger; s. f.

ABRIR ENLACE

Identidades falsas. Fake Name Generator; s. f.

ABRIR ENLACE

Buzones de cuentas. Mailinator; s. f.

ABRIR ENLACE

Correos eliminados. Spamgourmet; s. f. [En línea]

ABRIR ENLACE

Correos anónimos. Sharpmail; s. f.

ABRIR ENLACE
Lección 10 de 10

X. Glosario

El glosario contiene términos destacados para la

comprensión de la unidad

INGENIERÍA SOCIAL
–
Conjunto de técnicas utilizadas para manipular a potenciales víctimas y obtener, de esta manera, la
información deseada o conseguir que estas realicen alguna acción que conlleve al compromiso del
sistema, de los datos confidenciales, etc.
DEEP WEB
–
Todo aquel contenido alojado en internet que es accesible mediante permisos específicos, como pueden
ser una URL dedicada, una invitación, un pago o incluso un acceso mediante usuario y contraseña. Este tipo
de contenido se encuentra dentro de internet y, normalmente, parte de él suele estar indexado por los
motores de búsqueda habituales.

“STRING”
–
Secuencia ordenada (de longitud arbitraria) de elementos que pertenecen a un cierto lenguaje formal o
alfabeto análoga a una fórmula o a una oración.

IDENTIDAD DIGITAL
–
Conjunto de informaciones publicadas en internet sobre una persona (datos personales, fotografías,
comentarios, amistades, gustos, etc.) que la describen ante los demás y determinan su reputación digital.
Aunque dicha información no tiene por qué coincidir con la realidad, sí que tiene consecuencias en el
mundo real.

“CEO FRAUD”
–
Tipo de fraude en el que se suplanta al director ejecutivo de una empresa para instar -mediante la presión
que un alto cargo puede ejercer- a un empleado que disponga de acceso a la contabilidad o a las
transferencias de la compañía a realizar pagos de manera urgente y confidencial.

“SPOOFING”
–
Técnicas utilizadas para la suplantación de identidad (DNS spoofing, IP spoofing, ARP spoofing, email
spoofing…).