Historias reales: ¡Me convertí en spammer sin saberlo!
David es un joven empresario, que desde pequeño siempre le apasionaron los videojuegos, y decidió montar una empresa. Su negocio es el alquiler de consolas, videojuegos y accesorios. Es un nativo digital que usa las nuevas tecnologías de forma intensiva para potenciar su empresa.
Hace varios días envió por correo electrónico una oferta a un importante cliente, pero no recibía contestación alguna. El joven empresario, sabía que a veces sus correos acababan en las carpetas de SPAM, por lo que solía avisarles para que revisaran ese buzón. Pero en esta ocasión, el cliente aseguraba que no tenía ningún correo suyo en ninguna carpeta. David, para comprobar si realmente su servidor de correo electrónico funcionaba correctamente, se auto-envió un correo desde la cuenta del trabajo a una de sus cuentas personales en un servicio de correo gratuito y comprobó que no le llegó ningún tipo de mensaje. «Qué raro… ¿Qué estará pasando?» Preocupado por esto, David llama a su proveedor de informática, para preguntar que puede estar ocurriendo.
A los pocos minutos el técnico de la empresa de informática le devuelve la llamada tras analizar su problema:
«David, el servidor de correo de la empresa está registrado en “listas negras” de SPAM y es posible que muchos de los destinatarios a los que envías correos estén rechazando los mismos.»
El técnico, después de hacer unas pequeñas comprobaciones, le explica a David, que posiblemente un ciberdelincuente esté usando su servidor de correo, para enviar SPAM sin que él lo sepa. La dirección IP de su servidor de correo (lo que identifica a su servidor de correo en Internet) está incluida en varias listas negras de spammers, además, le explica el técnico, que el tráfico SMTP (Simple Mail Transfer Protocol) de su red, es decir el volumen de correo que se está gestionando desde su servidor de correo, es extrañamente elevado. Por este motivo, sus correos no llegan a los destinatarios.
David no da crédito a lo que está escuchando. Le indica al técnico que intente solucionar el problema, investigue cómo ha podido ocurrir esto y cuáles son las medidas que debe adoptar para que no vuelva a pasar.
¿Cómo saber si mi correo electrónico está en una lista negra de SPAM?
Para saber si el servidor de correo de nuestra empresa ha sido comprometido por un ciberdelincuente y está siendo utilizado para enviar SPAM, podemos realizar las siguientes comprobaciones:
- Revisar los sistemas de monitorización de nuestro servidor de correo, por norma general debe mostrar el tráfico SMTP saliente en su red. Si este tráfico es muy elevado (consultando las gráficas o los logs de los servidores de correo) es probable que nuestro servidor haya sido comprometido. También puede observarse mediante un sistema de administración de redes (SNMP).
- Comprobar si hemos recibido alguna notificación de proveedores de listas negras o de un tercero (proveedor de internet, equipo de seguridad, CERT,…). Suele ser la forma más habitual en la que una empresa conoce esta situación.
- Comprobar sin nuestra página web o dirección IP está en alguna lista negra de SPAM. Realizando consultas en las diferentes listas negras públicas disponibles, como pueden ser:
¿Por qué mi correo electrónico está en una lista negra de SPAM?
Probablemente el servidor de correo electrónico esté en una lista negra de SPAM porque haya sido comprometido. Por lo tanto, puede ser controlado por un ciberdelincuente, para el envío masivo de SPAM, integrado quizá en lo que se denomina una red botnet.
Si nuestro servidor comprometido envía de forma masiva correos no deseados, será detectado (quizá mediante direcciones de correo especiales llamadas spamtraps que se utilizan para detectar spammers o quizá por denuncia directa de otros administradores) e incluido en las listas negras de envío de spam. A partir de ahí, los servidores de correo que consulten esas listas descartarán nuestros mensajes. Es posible que los proveedores de listas negras nos avisen de la inclusión en sus listas, algo que también puede hacer nuestro proveedor de internet.
Revisando los ficheros de registro del servidor de correo (logs), el técnico detectó que el ciberdelincuente robo las contraseñas de David y accedió en numerosas ocasiones con esas credenciales. ¿Cómo pudo hacerse con el usuario y la contraseña? seguramente mediante algún virus o por no utilizar contraseñas robustas. También puede pasar que nuestra configuración de seguridad no sea la más adecuada, o que no esté correctamente actualizado.
¿Qué hacer si mi correo electrónico está en una lista negra de SPAM?
En caso de vernos afectados por un incidente de este tipo, debes contactar con tu proveedor de servicios informáticos o con tu proveedor de internet. El Instituto Nacional de Ciberseguridad (INCIBE), también ofrece, a través del centro de respuesta a incidentes de seguridad (CERT) de Seguridad e Industria (CERTSI), un servicio público y gratuito de asistencia y soporte desde el cual puedes solicitar asistencia ante un incidente de seguridad.
En cualquier caso, algunas de las recomendaciones generales para intentar resolver el incidente y que debes de tener en cuenta tanto si lo tienes que corregir tú, tu equipo técnico o tu proveedor tecnológico habitual, pasan por:
- Comprobar que el antivirus se encuentre activo y actualizado, y realizar un análisis de todas las máquinas que hayan podido verse afectadas. El procedimiento a seguir pasa por:
- Arrancar el equipo en modo seguro con funciones de red.
- Detener todos los procesos relacionados con el malware y con otros programas maliciosos, a través de herramientas como rkill.
- Analizar el equipo con un antivirus, por ejemplo Malwarebytes.
- Notificar al proveedor de internet y/o servicio de listas negras para indicar:
- que el problema ha sido resuelto
- solicitar que desbloqueen nuestro servicio de correo electrónico (normalmente puerto 25 de nuestro servidor)
- solicitar la eliminación de la IP del servidor de las listas negras.
¿Qué hacer para no estar incluido en una lista negra de SPAM?
En este tipo de incidentes, la prevención es fundamental. Tener unas contraseñas robustas y concienciar a los empleados, son las principales medidas para que los ciberdelincuentes no utilicen nuestros servidores para envío de spam.
De forma general las principales recomendaciones para que las realices junto con tú el equipo técnico que gestione tu servidor de correo pasan por:
- Comprobar que el antivirus se encuentre activo y actualizado.
- Utilizar contraseñas robustas, sin basarse en palabras existentes y que contenga con números, mayúsculas, minúsculas y símbolos con una longitud de al menos 8 caracteres.
- Desconfiar de los adjuntos de remitentes no confiables y navegar de forma segura.
- Configurar adecuadamente el servidor de correo.
- Monitorizar el tráfico saliente (SMTP) del gestor de correo electrónico.
Que nuestro servidor de correo esté incluido en listas negras de SPAM puede suponer no solo perdidas económicas para la empresa sino también pérdida de imagen, por ello aplicar estos consejos se hace esencial.
Este tipo de incidentes son habituales, por lo que toda precaución es poca. Desde INCIBE te ofrecemos diferentes materiales información que pueden ser de utilidad para ayudarte a mejorar la seguridad de tu empresa. Además, si has sufrido un incidente similar, estamos aquí para ayudarte.