viernes, abril 09, 2021

Las imágenes espía en las mensajes de correo electrónico

Actualmente, el correo electrónico se ha convertido en el centro de absolutamente todo lo que hacemos, la gran mayoría de sitios web requieren que, al registrarnos, introduzcamos una dirección de correo electrónico para sacarnos una cuenta. Un caos maravilloso que explicaba Chema Alonso en su artículo de "El e-mail ha muerto. ¡Larga vida al e-mail!". Pero algunos sitios, además de utilizarlo como identificación, lo usaran para contactar con nosotros para darnos el información del servicio, o, tal vez, enviarnos publicidad o spam.

Figura 1: Las imágenes espía en las mensajes de correo electrónico

Afortunadamente existen multitud de herramientas ya integradas en los agentes de correo más conocidos como puede ser Gmail u Outlook que evitan en gran medida que recibamos spam, o que nos manden continuamente correo que no nos interesa. Por supuesto, eso no nos garantiza los falsos positivos - correos legítimos que son marcados como spam - y que proteja nuestro tiempo contra corres no spam, pero si molestos o peligrosos. Para eso es mejor una solución como MyPublicInbox.  En el correo electrónico, si quieres afinar bien los herramientas anti-spam para que funcionen mejor, hay que configurar manualmente los filtros para poder ignorar mensajes u ordenarlos de la forma que queramos intentando resolver los problemas citados antes.
Pero, en los últimos años, una gran cantidad de empresas han comenzado a querer mas información de lo que pasa con el correo electrónico, y se las han ingeniado para crear métodos para sacarnos información con solo abrir el mensaje de los más variopinta, uno de ellos es del cual os voy a hablar hoy, como son las imágenes espía que se pusieron de moda para vigilar si se había abierto o no un correo que tú habías enviado, y de lo que ya se habló por aquí en el caso de Gmail.

Figura 3: Un e-mail de Wallmart con imagen de vigilancia

Las tiendas online, sobre todo, les interesa saber qué productos son los que cada usuario tiene mas interés. Por eso cuando nos mandan algún correo con ofertas, cada producto suele tener un enlace larguísimo el cual es único para cada usuario y permite identificarlo, para añadir el producto al que ha hecho clic a tus posibles compras futuras y personalizar aun mas la publicidad que te va apareciendo en el navegador.

Figura 4: Ejemplo de publicidad dirigida

Para evitar esto lo mas sencillo es simplemente ignorar los hipervínculos de las ofertas que nos llega por correo y buscarlo nosotros mismos en un buscador. Pero, existen mas formas de poder espiarnos sin ni si quiera dar un solo clic, para ello se aprovechan de la propia carga de las imágenes.

En un correo electrónico, todas las imágenes no van adjuntas, es decir, cada vez que se abre el correo, se cargan desde el servidor donde están alojadas para mostrarse, esta simple acción permite a los comercios recopilar información, como, por ejemplo, cuando lo hemos abierto, que sistema operativo tenemos, su versión, la versión del navegador si usa el cliente web, etcétera.

Para demostrarlo he montado una pequeña herramienta que simula un servidor que sirve una imagen, mediante el envío de un correo se consigue toda esta información:

Figura 5: Simulación del servidor de imágenes. ¬¬¬

Como se puede ver, se ha filtrado la hora exacta a la que se ha accedido a la imagen, el titulo del correo al que se ha accedido, el correo electrónico, que navegador y su versión, el sistema operativo que se estaba usando y su versión y la dirección IP desde la que se ha accedido (En este caso es una dirección local ya que se ha probado en el entorno del laboratorio).

Pero, ¿cómo se vería un correo así?¿Habría alguna manera de evitar esto? La respuesta es algo complicada, el correo podría estar camuflado de cualquier forma, por ejemplo, en la siguiente captura, ¿se ve alguna imagen incrustada?

Figura 6: Mensaje con imagen espía incrustada

No se ve ninguna, ya que la imagen que se ha insertado es transparente y mide 1x1 píxeles, permitiendo una carga instantánea de la misma. Para evitar esto, clientes de correo como por ejemplo Gmail - hoy en día - , descargan la imagen en su servidor y te la sirven ellos mismos, evitando que puedan espiarte mediante este método. Otros clientes como por ejemplo Microsoft Outlook de escritorio o la versión móvil, no cargan las imágenes de los correos sospechosos hasta que se lo permitamos, evitando de nuevo esta situación.

Pero, ¿qué peligro real tiene esto? Además de saber si has abierto un correo o no, le estamos diciendo a un atacante que nuestro correo funciona y que esta activo, imagina que esta persona decide con una lista con millones de correos electrónicos enviar a cada uno un correo con una imagen, el atacante va a saber cuales correos son funcionales y están en uso de forma regular, por lo que podría mandar ataques mas dirigidos y peligrosos, ya que debido a que se filtra la información de la versión de nuestro sistema operativo y del navegador.

Figura 7: Demo de captura de info con imágenes ocultas

Por otro lado, debido a la filtración que hace el navegador, también se nos puede reconocer de forma más o menos exacta, mediante técnicas de WebBrowser Fingerprinting como la de (Cross)Browser Fingerprinting, por ejemplo. Resumiéndolo de forma rápida, debido a las distintas configuraciones tanto del dispositivo, del sistema operativo, del navegador y del propio hardware, se puede sacar información de tu equipo que va a permitir reconocernos de forma muy exacta, entre millones de otras personas.
 
Figura 8: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en 0xWord

Como habéis podido comprobar, cada día es más complicado proteger nuestra privacidad y hay que estar siempre atentos a este tipo de intentos para obtener información. Aunque sólo sea para saber si un buzón de correo electrónico está activo por ejemplo, este detalle es de enorme interés para algunas empresas y organizaciones. Por eso, configura en tu cliente de correo electrónico que la carga de imágenes sea solo para remitentes de confianza y que por defecto esté desactivada, que te ayudará a protegerte de los peligros en Internet.
 
Saludos,

Autores:  Guillermo Peñarando Sánchez, Developer en Ideas Locas CDCO de Telefónica.

No hay comentarios:

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares