Los ciberdelincuentes ya no recurren a trucos de phishing obvios ni a correos electrónicos mal falsificados. En su lugar, abusan cada vez más de plataformas de confianza, flujos de trabajo legítimos y pequeñas brechas en los controles de seguridad más habituales. Al manipular procesos empresariales cotidianos en los que los usuarios ya confían, los autores de las amenazas convierten una infraestructura de buena reputación en un mecanismo de distribución involuntario de estafas, lo que hace que los mensajes maliciosos sean mucho más difíciles de detectar y que tengan muchas más probabilidades de tener éxito.
Kaseya INKY ha detectado ataques en los que los ciberdelincuentes hacen uso indebido de facturas legítimas y notificaciones de reclamaciones de proveedores conocidos, como PayPal, Apple, DocuSign y HelloSign.
Protégete contra los correos electrónicos maliciosos con Kaseya Inky
Detén las amenazas avanzadas de phishing y las amenazas por correo electrónico antes de que lleguen a los usuarios con INKY
ComenzarEstas plataformas suelen permitir a los usuarios introducir un «nombre de vendedor» o añadir una nota personalizada al crear una factura o una notificación. Los atacantes se aprovechan de esta funcionalidad para insertar instrucciones fraudulentas y un número de teléfono en esos campos controlados por el usuario. A continuación, envían la factura o la notificación de reclamación resultante a una dirección de correo electrónico que ellos controlan, asegurándose así de que el contenido malicioso quede integrado en un mensaje legítimo generado por el proveedor.
Dado que el mensaje procede directamente del proveedor, como PayPal, y está firmado criptográficamente, supera fácilmente las comprobaciones de DomainKeys Identified Mail (DKIM) y de Domain-based Message Authentication, Reporting & Conformance (DMARC). Tras recibir el correo electrónico legítimo, el atacante se limita a reenviarlo a sus destinatarios previstos. El resultado es un mensaje que parece auténtico, supera la autenticación del correo electrónico y llega a las bandejas de entrada sin apenas avisos.
Esta técnica, conocida como «ataque de repetición DKIM», es utilizada cada vez más por los atacantes para engañar a los usuarios finales y eludir los controles de seguridad tradicionales del correo electrónico.
Cómo funcionan los ataques de reenvío DKIM, y por qué son tan eficaces
Un ataque de reenvío DKIM se produce cuando un atacante captura un correo electrónico legítimo firmado con DKIM y, a continuación, «reenvía» ese mismo mensaje a otros destinatarios. Dado que los encabezados originales y el cuerpo del mensaje permanecen inalterados, la firma DKIM sigue siendo válida. Como resultado, el correo electrónico supera la autenticación DMARC a pesar de que está siendo redistribuido por un atacante en lugar de ser entregado por el remitente original. Para evitar romper DKIM, los atacantes no modifican intencionadamente el mensaje después de que haya sido firmado.
Para entender por qué funciona esto, conviene analizar cómo funciona la autenticación del correo electrónico:
- DKIM añade una firma criptográfica a los encabezados y al cuerpo de un correo electrónico. El servidor de correo receptor utiliza la clave pública del dominio remitente para confirmar que el contenido firmado no ha sido alterado durante el tránsito. DKIM verifica la integridad del mensaje, pero no confirma quién ha enviado realmente el correo electrónico.
- DMARC se basa en DKIM o en el Sender Policy Framework (SPF) y comprueba la coincidencia entre el dominio autenticado y la dirección «De:» visible. Si DKIM supera la comprobación y coincide con el dominio «De:», DMARC también la supera.
Los atacantes aprovechan este comportamiento para enviar contenido de phishing o estafas desde dominios de gran reputación en los que los destinatarios ya confían. Aunque las comprobaciones SPF fallen durante el reenvío, una firma DKIM válida y alineada suele permitir que DMARC se apruebe. Esto hace que los ataques de repetición de DKIM sean especialmente difíciles de detectar para las herramientas tradicionales de seguridad del correo electrónico y cada vez más atractivos para los autores de amenazas que se dirigen a los usuarios finales.
Ataques de repetición DKIM en acción: uso indebido de facturas de Apple y PayPal
Kaseya INKY ha observado que los autores de amenazas están utilizando de forma maliciosa correos electrónicos legítimos de Apple y PayPal para llevar a cabo estafas que superan los controles de autenticación y parecen fiables a los destinatarios.
Se ha hecho un uso indebido de las facturas de la App Store de Apple en ataques de repetición DKIM
| Campo de encabezado | Valor |
| De | [email protected] |
| A | [email protected] (buzón del atacante) |
| Asunto | Confirmación de la suscripción |
| DKIM‑Firma | d=email.apple.com |
A continuación se ofrece un desglose paso a paso del ataque:
- Obtener un correo electrónico legítimo firmado con DKIM: El atacante crea un ID de Apple y se suscribe a la aplicación Surfshark VPN (en este caso) en la App Store de Apple. Durante el proceso de registro, introduce contenido malicioso —Para cancelar, llame al +1 (803) 745-3821— en el campo del nombre de la cuenta. A continuación, el sistema automatizado de Apple genera un correo electrónico de confirmación de la suscripción que contiene este valor y lo firma utilizando la clave DKIM del dominio.
- Firma DKIM válida: el encabezado DKIM del correo electrónico indica que Apple ha firmado los encabezados clave y todo el cuerpo del mensaje. Los servidores de correo receptores verifican esta firma utilizando la clave DKIM pública de Apple y, por lo tanto, marcan el mensaje como «dkim=pass» y «dmarc=pass».
- Repetición: Tras recibir el correo electrónico legítimo, el atacante lo reenvía a una lista de víctimas, por ejemplo, utilizando Outlook u otro cliente SMTP (Protocolo simple de transferencia de correo). El reenvío no modifica los encabezados ni el cuerpo firmados, por lo que la firma DKIM sigue siendo válida. Aunque cambian las direcciones de los destinatarios del sobre, DMARC evalúa el dominio del encabezado «From:» y la firma DKIM, no el valor «RCPT TO» del sobre.
- Envío a las víctimas: dado que el mensaje procede de un dominio de confianza (email.apple.com) y supera todas las comprobaciones de autenticación (DKIM y DMARC), muchos filtros de correo electrónico lo consideran legítimo. El saludo inusual —Estimado, para cancelar, llame al +1 (803) 745-3821— puede ser la única señal de alarma evidente. Los destinatarios desprevenidos pueden llamar al número de teléfono indicado, lo que permite a los delincuentes recopilar datos de pago o información de identificación personal (PII). También pueden indicar a las víctimas que visiten sitios maliciosos para instalar malware o software de acceso remoto, o que envíen información a través de formularios fraudulentos.
Una factura impugnada de PayPal utilizada indebidamente en ataques de reenvío DKIM
| Campo de encabezado | Valor |
| De | [email protected] |
| A | Kenji Smith [email protected] (el buzón del atacante) |
| Asunto | Hemos recibido tu reclamación de PayPal |
| DKIM‑Firma | d=paypal.com |
A continuación se ofrece un desglose paso a paso del ataque:
- Crear un caso o una factura en PayPal con contenido malicioso: el atacante utiliza su cuenta de PayPal para abrir una disputa o emitir una factura y establece el «nombre del vendedor» con un mensaje fraudulento que incluye un número de teléfono. El sistema de PayPal almacena este dato proporcionado por el usuario sin validarlo.
- Enviar el correo electrónico a un buzón controlado por el atacante: el atacante envía la factura o la notificación del caso a una dirección de correo electrónico que controla. PayPal genera un correo electrónico de confirmación desde [email protected] y lo firma utilizando la clave DKIM del dominio. El mensaje incluye el «nombre del vendedor» malicioso.
- Firma DKIM válida: el encabezado DKIM del correo electrónico indica que PayPal ha firmado los encabezados clave y todo el cuerpo del mensaje. Los servidores de correo receptores verifican esta firma utilizando la clave DKIM pública de PayPal y, por lo tanto, marcan el mensaje como «dkim=pass» y «dmarc=pass».
- Reenvío a las víctimas: el atacante reenvía el correo electrónico sin modificaciones a las víctimas previstas utilizando su propio servicio SMTP. Aunque cambia el destinatario que figura en el sobre, el campo «Para:» de la cabecera sigue indicando la dirección del atacante, por lo que la firma DKIM sigue siendo válida. Dado que el correo electrónico procede de un dominio legítimo de PayPal y supera los controles de autenticación, la mayoría de los filtros antispam y antiphishing lo envían a la bandeja de entrada de la víctima.
- La víctima llama al número de la estafa: tras ver una notificación de PayPal que parece auténtica y un mensaje urgente sobre una transacción en disputa, es probable que la víctima llame al número de teléfono indicado. Una vez en la llamada, los estafadores suelen intentar obtener información financiera o datos de identificación personal, o convencer a la víctima para que instale un programa de acceso remoto.
Por qué la seguridad tradicional del correo electrónico suele ser incapaz de detener los ataques de repetición de DKIM
Los controles tradicionales de seguridad del correo electrónico están diseñados para detectar remitentes falsos y mensajes alterados. Sin embargo, en los ataques de repetición de DKIM, los atacantes utilizan correos electrónicos totalmente legítimos y autenticados, lo que permite que estos mensajes eludan las defensas que dependen en gran medida de las señales de autenticación.
Entre los puntos habituales de fallo se incluyen:
- DKIM y DMARC válidos: el mensaje procede de Apple o PayPal y está firmado con las claves DKIM legítimas de la organización. Por lo tanto, la firma se verifica correctamente y DMARC se supera, aunque el correo electrónico haya sido reenviado por un atacante.
- Desalineación de SPF: el servidor de reenvío del atacante no está autorizado por los registros SPF de Apple o PayPal, lo que provoca que SPF falle. Sin embargo, DMARC sigue pasando la comprobación, ya que la autenticación DKIM alineada es suficiente por sí sola para cumplir con los requisitos de DMARC.
- Contenido aportado por el usuario: Apple y PayPal permiten a los usuarios introducir texto libre en los campos de nombre del vendedor o de notas. Este contenido se incluye en el cuerpo del mensaje firmado con DKIM, lo que permite a los atacantes insertar instrucciones fraudulentas o números de teléfono durante el registro sin invalidar la firma.
Kaseya INKY amenazas como los ataques de repetición de DKIM gracias a la IA generativa
Buenas prácticas: Orientaciones y recomendaciones
Los ataques de repetición DKIM se aprovechan de la confianza depositada en marcas conocidas y en los correos electrónicos autenticados, por lo que es fundamental que tanto los usuarios como los equipos de seguridad estén al tanto y presten especial atención.
- Comprueba el encabezado «Para»: verifica si la dirección «Para» que figura en el encabezado del mensaje coincide con el destinatario previsto. Una discrepancia entre los encabezados visibles y el destinatario del sobre puede indicar que el correo electrónico ha sido reenviado o falsificado por un atacante.
- Desconfíe de los números de teléfono: las notificaciones legítimas de Apple y PayPal indican a los usuarios que inicien sesión en sus sitios web oficiales, no que llamen a números de teléfono no solicitados. Los usuarios deben evitar llamar a cualquier número que figure en correos electrónicos inesperados, especialmente aquellos que aleguen problemas urgentes relacionados con la cuenta o los pagos.
Al combinar la inspección de encabezados con la formación de los usuarios sobre las tácticas de estafa más habituales, las organizaciones pueden reducir el riesgo de que los ataques de repetición de DKIM lleguen a los usuarios finales y los engañen.
