No te sorprendas si recibes correo spam de los sitios web más populares del mundo. Los estándares de seguridad débiles permiten a cualquiera enviar correos suplantando la identidad de los dominios más visitados, de acuerdo con una nueva investigación.

El spoofing de correos electrónicos es una táctica común de los spammers en la cual se envían correos usando como remitente el correo de alguien más. Los mensajes pueden aparentemente provenir de Google, un banco o uno de tus mejores amigos, incluso aunque el correo electrónico nunca fue emitido realmente por ellos. El spammer simplemente modifica la dirección de correo electrónico del remitente.

Los sistemas de autenticación han hecho progresos para tratar de resolver el problema. No obstante, muchos de los dominios de sitios web más populares están utilizándolos incorrectamente, abriendo la puerta para el spoofing, de acuerdo con la firma de seguridad Detectify.

La compañía analizó 500 de los sitios web clasificados por Alexa y como resultado obtuvo que 276 de los dominios son vulnerables, comentó en una entrada de su blog. De los sitios vulnerables, 40% fueron sitios de noticias y de medios visuales y 16% fueron sitios de software como servicio (Software-as-a-Service), Detectify indicó en un correo electrónico.

Una forma común utilizada por estos dominios para tratar de prevenir el spoofing de correos es mediante un sistema de validación llamado Esquema de Políticas de Remitente (SPF, por sus siglas en inglés). Esencialmente crea un registro público indicando en Internet que servidores de correo electrónico están autorizados para utilizar un dominio. Idealmente, cualquier mensaje suplantando la identidad del dominio será detectado como spam y rechazado antes de la entrega.

Sin embargo, en la práctica el sistema puede ser insuficiente. El SPF filtra mejor los correos spam cuando se utiliza la configuración hardfail, pero muchos dominios de sitios web implementan el SPF a nivel softfail. Y aunque cualquier correo falsificado se etiquetará como correo spam, los mensajes aún serán enviados al destinatario. Las compañías a cargo de los dominios de sitios web hacen esto para evitar perder correos legítimos que podrían ser etiquetados erróneamente, dijo John Levine, un experimentado consultor de infraestructura en correo electrónico.

Los 276 dominios web clasificados como vulnerables no estaban usando ningún sistema SPF o tenían su sistema SPF funcionando a nivel softfail. Otros tenían configurados inapropiadamente sus sistemas de validación de correo para no realizar ninguna acción cuando se detectaba el spam, Detectify señaló.

Muchas personas piensan equivocadamente que están protegidos usando únicamente SPF, Detectify agregó. La firma de seguridad está aconsejando a las compañías usar un sistema más reciente de validación de correos electrónicos, llamado DMARC (Domain-based Message Authentication, Reporting & Conformance) para prevenir la falsificación de correos.