Zerolynx Cybersecurity Blog

Cazadores de Evidencia: Navegando por el Análisis Forense de Correos Electrónicos



En la realización de los análisis, ya bien sean del ámbito forense, de inteligencia, financiero u otros, destaca la búsqueda de la verdad. La verdad como objetivo y utilizando como medio la razón, así como Descartes describió en su día en el Discurso del método para dirigir bien la razón y buscar la verdad en las ciencias. Los analistas pretendemos averiguar lo sucedido y dar respuesta a las inquietudes del cliente, sin dejar de lado que, en ocasiones, la verdad es lo más complejo de atestiguar.

El análisis forense de correos electrónicos surge casi en su totalidad tras un suceso o incidente que requiere ser investigado. Estos análisis se comprenden en ocasiones de dos partes, la tecnológica (el proceso de envío y recepción) y la de información (contenida en el correo y/o adjunta en él).

Las consideraciones principales para realizar el análisis tecnológico de los correos fraudulentos, aunque no siempre tendrán cabida en todos los análisis, pero que es necesario contemplar inicialmente, son:

  • Identificar unívocamente los servicios de correo involucrados tanto en origen como en destino. Se debe identificar la tecnología de correo de las dos partes, bien podrían ser correos en la nube (SaaS) o servidores de correo on premise.
  • Garantizar que los correos no han sido manipulados, obteniendo las muestras de correo a analizar con una cuenta administrativa directamente del servidor, no de los clientes de correo de los usuarios afectados.
  • Analizar las cabeceras técnicas en los emails recibidos para identificar los servidores origen del envío.
  • Analizar los elementos de seguridad del correo como:

    • Alineación SPF: La alineación SPF puede considerarse inalterada cuando el dominio de “MAIL-FROM” o “Return-Path“ y de “From” son iguales. La diferencia entre estos podría sugerir que el correo electrónico es falso.
    • Autenticación SPF: Si la autenticación SPF es “false”, significa que la dirección IP del remitente no está autorizada para enviar correo electrónico en nombre de un remitente. Es decir, que no está autorizada a enviar correos electrónicos en nombre del dominio legítimo.
    • Alineación DKIM: Para confirmar la alineación de DKIM en un correo, el campo  “DKIM-Signature” debe incluir la firma del dominio de la cabecera “From” en su etiqueta “; d=domain.com”.
    • Autenticación DKIM: Si el campo Firma DKIM no está verificado, puede suponer que el correo electrónico ha sido modificado o alterado.

En cuanto a la parte del análisis sobre la información del correo electrónico, es necesario atender de manera objetiva a lo redactado en él, así como a aquello incluido en los archivos adjuntos si lo hubiera. En esta parte, hay que tener en cuenta varias premisas:

  • Redacción, estilo literario y ortografía: cada vez más compleja la distinción de mensajes reales o lícitos de aquellos generados por un atacante utilizando Inteligencia Artificial.
  • Formato de la firma: análisis visual de la firma en busca de posibles falsificaciones o en todo caso, si existe la posibilidad de ser una copia de una firma auténtica, identificando espacios bajo la firma que no debieran de existir.
  • Datos relevantes: establecer que información en el correo es de dominio público o privado. Posibles esferas de conocimiento de dicha información.
  • Mención a personas: valorar si se tratan de personas reales o ficticias, en el caso de atacantes, es más probable lo primero, pero es importante no realizar el descarte antes del análisis.
  • Correos electrónicos filtrados o expuestos: identificar si la cuenta que recibe el correo electrónico esta presente en filtraciones de datos o es posible encontrarla en fuentes abiertas. En el caso de filtraciones de contraseñas, valorar la posibilidad de un compromiso en la cuenta.
  • Modus operandi: establecer una hipótesis con los fundamentos más objetivos y certeros disponibles que indique como se pudo realizar el ataque.
  • Objetivo: analizar el posible objetivo del atacante, así como el beneficio que obtendría, en casos complejos puede ser de ayuda.
  • Ficheros adjuntos: extracción de los metadatos de los ficheros y análisis tanto de estos como de la información del documento en sí (firma, número de cuenta bancaria, etc.).


Como aspecto clave en el análisis forense cabe destacar la extracción del elemento y la cadena de custodia de éste como elemento. Si bien es importante en el ámbito forense, toma especial relevancia en el caso del correo, pues se ha de realizar un análisis del mismo en todos los puntos por donde han pasado.

En el análisis forense, por tanto, es siempre recomendable acudir a los mejores expertos, aquellos que realicen una buena identificación de las evidencias y sean capaces de relatar los hechos comprobados sin caer en suposiciones o falsas creencias. Además, de que siempre y cuando el informe vaya a ser presentado a juicio, se realice una correcta custodia de los dispositivos y/o ficheros, contando también con los peritos que realizaron el informe para su correcta defensa en sede judicial.


Sergio Gutierrez, Technical Lead en Zerolynx y Noelia B. Analista de Ciberinteligencia en Zerolynx.

Entre Bits y Valores: El Debate Ético en Torno al Cifrado de Extremo a Extremo

Esquema explicativo de cifrado de extremo a extremo

 ¿Qué es el cifrado extremo a extremo y por qué es importante?

A lo largo de la última década, la seguridad de la información ha ido cobrando mayor importancia y concienciación, donde uno de los aspectos de la seguridad ha sido conversar de manera privada evolucionando los sistemas arcaicos de trasmisión de información en claro por sofisticados mecanismos de cifrado extremo a extremo. 

El cifrado de extremo a extremo (E2EE – End to End Ecryption) es un mecanismo de seguridad informática que permite garantizar la confidencialidad y la integridad de los datos en una comunicación entre dos partes a través de un canal potencialmente inseguro. Consiste en cifrar los datos en el extremo origen y descifrarlos en el destino (cliente-cliente) sin que esto se haga en el servidor del proveedor de servicios, asegurando que un tercero no logre interceptar los datos en claro sin la clave de descifrado pertinente. El par de claves asimétrico [1], se genera entre el remitente y el destinatario, lo que implica que sólo estas dos partes tienen acceso a las claves necesarias para descifrar los datos. Por tanto, la pérdida del par de claves impediría el acceso a los mensajes trasmitidos. 

Un ejemplo práctico se encuentra en aplicaciones de mensajería instantánea como Signal, proyecto de código abierto haciendo uso de cifrado robusto Extended Triple Diffie-Hellman [2] o Post-Quantum Extended Diffie-Hellman [3] a prueba de ordenadores cuánticos. En ésta se garantiza la privacidad desde el punto de vista tecnológico cuyo único dato vinculado es el número de teléfono. Aunque pueda parecer una aplicación ideal desde el punto de vista de la privacidad, la principal desventaja que presenta es su uso poco extendido. Otras aplicaciones muy conocidas como WhatsApp también se basan en el mismo esquema [4], donde la privacidad de las conversaciones se mantiene intacta (siempre y cuando no hayas sido reportado por un usuario [5]). Por contra, la gran cantidad de otros datos y metadatos del usuario no cifrados y recopilados en sus servidores podría poner en peligro la privacidad [6]. 

Otra arquitectura opuesta al cifrado extremo a extremo es el cifrado de datos en tránsito, que consiste cifrar el mensaje en el extremo emisor, descifrarlo en el servidor, volver a cifrarlo en éste y descifrarlo finalmente en el extremo receptor (cliente-servidor-cliente). Al igual que el anterior, protege la información durante su transmisión, pero permite que el servidor intermediario pueda hacer uso de los mensajes transmitidos [7].

Un ejemplo de esta arquitectura es el aplicativo Telegram, donde los mensajes privados utilizan la nube para alojar y procesar los datos transmitidos. No obstante, el aplicativo también ofrece la opción de cifrar extremo a extremo la comunicación mediante los ‘mensajes secretos’ [8]. 

Como se puede observar, las tecnologías en la privacidad son muy sofisticadas, donde a pesar de la arquitectura o los cifrados empleados, existen factores no tecnológicos como las condiciones y la gestión ofrecidas por las proveedoras de servicios que pueden influir de manera indirecta en la privacidad del usuario. 

Teniendo en cuenta el auge del cifrado E2EE no sólo en el ámbito de la mensajería instantánea con funciones básicas muy comunes entre ellas, sino también en el correo electrónico, videoconferencia u otros, existe un punto de inflexión donde los usuarios con intenciones fraudulentas podrían aprovechar las ventajas de la tecnología para transmitir contenido ilegal sin ser detectado. Tanto es así, que las instituciones gubernamentales podrían implementar restricciones en el uso de los protocolos extremo a extremo [9]  al verse entorpecidos en el control masivo de contenido ilícito mediante palabras clave u otros métodos, tal y cómo ocurrió en 1993 con Phil Zimmermann [10] bajo investigación por el haber publicado PGP (Pretty Good Privacy). Una posible medida podría consistir en obligar a las empresas tecnológicas a implementar mecanismos de control o escaneos de contenido en cada extremo antes del cifrado y su emisión al receptor, dejando la característica principal del protocolo inutilizado. 

Por recapitular, independientemente del dilema moral hasta dónde se debe permitir el acceso de las autoridades a nuestra privacidad, se recomienda el uso de aplicaciones que recojan el menor número de datos posibles, a ser posible de código abierto y no controlados por una compañía gigante conocida por sus fines comerciales. Adicionalmente se recomienda proteger el extremo más débil,  el terminal, no sólo a nivel de aplicativos con posible malware incrustado, vulnerabilidades explotables o backdoors, sino también mediante la protección de una contraseña robusta o el empleo de doble factor de verificación. 

¿Qué opinas sobre prohibir el uso de cifrados de extremo a extremo? 

¿Y sobre el uso de estos protocolos?

¿Está reñida la privacidad la finalidad de la comunicación?

Referencias

[1] J. Ramió Aguirre, «Class4crypt c4c10.4 Algoritmo RSA,» [En línea]. Available: https://youtu.be/w5dWeZwfK8w?si=70Arkine_WmHy3jX

[2] Wikipedia, [En línea]. Available: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman

[3] Web. [En línea]. Available: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman

[4] WhatsApp, [En línea]. Available: https://faq.whatsapp.com/820124435853543/?locale=es_LA

[5] WhatsApp, [En línea]. Available: https://faq.whatsapp.com/414631957536067/?helpref=hc_fnav

[6] Xataka, «Signal vs Telegram vs WhatsApp: cuáles son las diferencias y cuál cuida más tu privacidad,» [En línea]. Available: https://www.xataka.com/basics/signal-vs-telegram-vs-whatsapp-cuales-diferencias-cual-cuida-tu-privacidad

[7] «¿Qué es el cifrado de extremo a extremo y por qué lo necesitas?,» [En línea]. Available: https://www.kaspersky.es/blog/what-is-end-to-end-encryption/23862/

[8] Telegram, [En línea]. Available: https://core.telegram.org/api/end-to-end

[9] «Leaked Government Document Shows Spain Wants to Ban End-to-End Encryption,» [En línea]. Available: https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/

[10] «The Critical Hole at the Heart of Our Cell Phone Networks,» [En línea]. Available: https://www.wired.com/2016/04/the-critical-hole-at-the-heart-of-cell-phone-infrastructure/


Arturo Fernández,  Analista de Ciberseguridad en Zerolynx.