Office 365: Cómo reducir el spam y el ruido en tu e-mail y sacar más tiempo a tu vida.

Hace tiempo que gestiono y mis buzones de correo electrónico y mis redes sociales en modo "Whitelist" o "Lista Blanca". Es decir, no contesto ningún mensaje de correo electrónico que no venga de alguien que tenga en mi lista blanca de contactos. Personas con las que trabajo en mi compañía, o colegas con los que llevo años colaborando de manera fluida. Todos los demás, son borrados y bloqueados, porque mi buzón de correo es una herramienta de trabajo que tiene que serme útil para sacar mis tareas y permitiendo que cualquiera pueda robarme tiempo y atención escribiéndome un e-mail no me ayudaba a eso.

Figura 1: Office 365: Cómo reducir el spam y el ruido

en tu e-mail y sacar más tiempo a tu vida.

Para todo lo demás, tengo un canal de comunicaciones abierto a todo el mundo, donde todo el que quiera para algo que sea importante para él, que quiera presentarme algo, invitarme a algo, o contarme algo, puede hacerlo. Es un canal que, como los otros, también gestiono en Inbox Zero, es decir, que contesto en un plazo de tiempo súper corto: Es mi buzón de MyPublicInbox, donde está abierto a todos.

Figura 2: He contestado 1420 mensajes por mi buzón de MyPublicInbox

Gracias a esta disciplina de trabajo con mi correo electrónico y redes sociales, yo hago Inbox Zero, si no todos los días, casi todos los días, dejando que las tareas importantes de mi trabajo se lleven mi tiempo, y no contestar mensajes. Y para ello, la regla número uno es proteger qué correos entran en tu buzón de Office 365, especialmente desde que hay empresas que se dedican a vender tu contacto, como la empresa que os conté que vendía mis datos y con la que tuve mis más y mis menos.

Protegiendo los correos que entran en el inbox de mi Office 365

Así, cuando llega un mensaje a mi buzón de correo electrónico personal o del trabajo de alguien que no está en mi "Whitelist" de destinatarios, he configurado una regla que envía un mensaje de respuesta que dice:

[Respuesta Automática - English below ] 

¡Hola! 

Gracias por contactar conmigo, pero como bien sabes, el tiempo es oro, y para proteger el mío, te escribo este mensaje automático para informarte de que este buzón solo acepta los mensajes que están dentro de la lista blanca. Y esta dirección no está entre ellas. 

No respondo mensajes por este buzón ni ninguna otra plataforma social. Este tipo de mensajes los contesto a través de la plataforma de comunicaciones responsables con el tiempo de las personas MyPublicInbox, donde tengo un buzón público en la siguiente dirección. 

    • https://www.mypublicinbox.com/ChemaAlonso 

 

Si quieres proponerme algo, tener una reunión de trabajo, o buscar oportunidades de colaboración juntos, no dudes en contactarme. Puedes reservar tiempo para una reunión virtual conmigo aquí: 

    • https://www.mypublicinbox.com/chemaalonso/videocall

Espero que comprendas que el tiempo que puedo dedicar a responder mensajes diariamente es muy limitado. 

¡Gracias! 

[English Version] 

 

Hi! 

 

Thanks for reaching me, but as you probably know, time is gold, and to protect mine, this is an automatic reply to inform you that I do only answer messages from a whitelist, and your address is not on it. 

 

I do this kind of communications using MyPublicInbox, a responsible communications platform. I have a public Inbox at: 

 

    • https://www.mypublicinbox.com/ChemaAlonso 

 

You can also book time in my agenda for a Virtual Meeting here: 

    • https://www.mypublicinbox.com/chemaalonso/videocall 

 

If you want to propose a collaboration, a meeting, or any professional opportunity, you can reach me there. I hope you may understand my daily time to answer messages is limited and I need to protect it. 

Thanks!

Al final, es una manera directa para contactar conmigo, pero claro, está protegido por Tempos, que es lo que defiende mi tiempo. Una barrera insalvable para quien realmente no tiene tanto interés en mi tiempo como para no contactarme, así que me ayuda mucho. 

Figura 3: En las opciones del correo de Office365 sólo se puede

bloquear a nivel de e-mail address y no a nivel de dominio.

Además de la respuesta, la regla de Office365 me envía el mensaje a una carpeta donde puedo revisarlos antes de bloquearlos, y es aquí donde comienza lo que os quería contar, ya que el bloqueo, como podéis ver en la imagen anterior es a nivel de e-mail address ni a nivel de domino. Claro, esto los spammers profesionales se lo saben y utilizan diferentes e-mail addresses con el mismo dominio para ir cambiando y evitando los bloqueos. 

Bloqueando dominios de correo en Office365

Queriendo evitar esto, después de haberme dado cuenta de que varios tipos de correo los había bloqueado, decidí revisar si era mi imaginación, o estaban haciéndome este truco, así que para saber si esto te ha pasado, es tan sencillo como irse a las Opciones de Configuración de Office 365 e ir a la parte de "Junk e-mail" para buscar por el dominio que crees que has bloqueado varias veces, y buscar ese dominio a ver si es cierto que está haciendo el cambio de e-mail address para cada nuevo envío.

Figura 4: Ahí está, cada envío al mes, un nombre nuevo.

Pues nada, desde esa misma pantalla de configuración, puedes bloquear directamente un dominio, así que cuando te pase esto, al zurrón y todos a la playa para próximos envíos, que esto es algo muy común de los más "heavy spammers".

Figura 5: Bloquear un dominio de correo en Officer365

Para hacerlo basta con poner el nombre del dominio y luego darle al botón de +Add y listo. Ya te has zapado todos los remitentes de ese dominio. 

Revisando la Cuarentena con Defender

Claro, puede pasar que en una de estas se te haya ido la mano y hayas bloqueado algo gordo que quieras revisar. Para ello, además de irte a ver las direcciones de correo electrónico y los dominios que has bloqueado en las opciones del Mail en Office 365 (la ruta de la Figura 5), puedes irte a Microsoft 365 Defender a ver la carpeta de Cuarentena y revisar qué no te ha entregado el sistema de seguridad.

Figura 6: Microsoft 365 Defender en Security.Microsoft.com

Ahí en la cuarentena puedes ver todos los correos que el sistema de seguridad de Microsoft 365 Defender junto con tus reglas de bloqueo han puesto en cuarentena durante 30 días, y buscar, si quieres, a ver si algo se te ha ido de madre por exceso de restricción.

Figura 7: Mi Cuarentena en Office 365

La verdad es que no me ha pasado nunca que haya algo en la Cuarentena que haya bloqueado por exceso de protección de mi tiempo, pero sí que es cierto que una vez al mes me paso a verlo por curiosidad, a ver si aprendo algo o puedo mejorar el sistema.  

Figura 8: Un mensaje de promoción en mi cuarentena

Ahí puedes revisar el correo, mirar el mensaje original, las cabeceras, revisar los resultados de las pruebas de SPF, el DKIM, el DMARC, y ver el valor SCL (Spam Confidence Level) que ha recibido cada mensaje para acabar en esa carpeta, como podéis ver en este caso.

Figura 9: SCL 9. Todo un sobresaliente como Spam

Por supuesto, lo puedes liberar de la cuarentena, bloquear o desbloquear ese remitente (si no lo tenías bloqueado antes), etcétera, pero ya os digo que suele funcionar todo bastante fino.

Figura 10: Acciones con los mensajes en la cuarentena

Al final, lo que me sucedía es lo que probablemente os pasa a muchos de vosotros. Habéis interiorizado la tarea de hacer esto manualmente, y os pasáis el día borrando mensajes de correo, leyendo mensajes de gente que os roba tiempo por el e-mail, de una manera tan rutinaria que ya no sois conscientes de la cantidad de tiempo que perdéis en ello. Yo decidí trabajar en proteger mi e-mail y para mí es gestionar el buzón no es algo que me quite casi tiempo, donde además yo tengo un montón de reglas para evitar la burocracia personal. Leeros este artículo de hace tiempo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox, siempre se acaban sorprendiendo de la cantidad de cosas que se pueden hacer con la plataforma. Hoy os voy a intentar recoger 10 cosas que nosotros utilizamos habitualmente de MyPublicInbox, y que tú puedes utilizar si eres un perfil público.

Figura 1: 10 maneras de sacarle el jugo a tu cuenta

de MyPublicInbox si eres un Perfil Público

Lo primero de todo, si no eres un Perfil Público, lo puedes solicitar desde tu cuenta de MyPublicInbox, para que tengas todas las funciones que te voy a explicar ahora mismo.

1.- Un buzón de contacto público para Internet para ti y para hacer contactos

La primera de las funciones es la más evidente. MyPublicInbox es un buzón de mensajes de correo para Internet que está pensando para que nunca tengas que compartir ni tu dirección de correo electrónico (que es el usuario de tus servicios de Internet), ni tu número de teléfono, y que tenga una barrera en base a los Tempos para evitar mensajes de Spam, campañas de Spam Malware o Phishing, o de gente que no tiene interés real en tu tiempo.

Figura 2: Contactar con Rudy Fernández

Esto reduce el ruido que te llega desde Internet, y solo aquellos que tiene un interés legítimo de verdad y quieren tener un contacto respetuoso escriben. Por eso, es un buzón perfecto para utilizar en las redes sociales. 

Figura 3: Selector de respuesta sin coste

Para mí es una protección de mi tiempo de trabajo espectacular. Un filtro único que permite que el que quiera contactarme lo haga y el que no lo hace es porque no tenía tanto interés. Y si te interesa seguir manteniendo la conversación, se puede mantener gratuita con solo marcar el selector de respuesta gratis.

Figura 4: Base de datos de Perfiles Públicos por categorías

Además de recibir mensajes, yo también soy contactador y escribo a muchos perfiles públicos para hacer contactos de trabajo, buscar sinergias en proyectos, o hacer negocios. Las base de datos de perfiles públicos de MyPublicInbox es un sitio perfecto para conseguir relaciones profesionales con todo tipo de profesionales.

2.- Apoyar a causas sociales con Tempos

Los Tempos que recibes, si no tienes interés en ellos, puedes donarlos a causas sociales, y así apoyas a organizaciones. Cuantos más Tempos generes, más podrás donar a estas organizaciones y proyectos. Para ello, puedes elegirlo desde tu perfil.

Figura 5: Contactar con Dani Rovira en MyPublicInbox

Tempos donados a la Fundación Ochotumbao

Y si eres una ONG o un Proyecto Social, puedes abrirte un Perfil Público y ser uno de los receptores de estos Tempos que luego te cambiará la plataforma por importes económicos para que tengas una fuente de ingresos que crezca. Cuantos más perfiles donen los Tempos a un proyecto, más dinero generas de manera automática.

3.- Ofrecer servicios profesionales en forma de reuniones

Como os expliqué en los artículos de Cómo ofrecer servicios profesionales a través de reuniones virtuales en MyPublicInbox y Cómo solicitar y tener una reunión virtual a través de MyPublicInbox puedes ofrecer tus servicios vía vídeo-conferencias, generar Tempos y luego convertirlos en dinero. Este servicio está disponible para todos los perfiles públicos de la plataforma.

Figura 6: Reunión Virtual en MyPublicInbox

En mi caso es una forma de poder tener reuniones con gente que se quiere reunir conmigo, pero con un filtro de interés basado en el tiempo que me va a tomar esta reunión. Y por supuesto, también puedes usarlo para reunirte tú con profesionales que tienen abierto este canal de comunicación.

4.- Potenciar tu cuenta de Twitter para tener más seguidores y más alcance con tus Tweets

Una de las cosas que puedes hacer con tus Tempos es promocionar tu perfil de Twitter. Para eso tenemos un servicio de economía circular de Tempos por lo que se ofrece a los usuarios que quieren ganar Tempos seguir cuentas de Twitter y se les premia con los Tempos.

Figura 7: Cuentas de Twitter promocionadas con Tempos

Esto permite que las personas que hacen algo por ti, en este caso potenciar mi cuenta de Twitter, consigan un poco de Tempos que pueden usar para gastar el tiempo de otros perfiles públicos. Yo gasto todos los Tempos que genero con los mensajes que recibo en premiar a quién me apoya en Twitter.

Figura 8: Tweets promocionados con Tempos en MyPublicInbox

También puedes promocionar tus Tweets para tener más alcance, para ello, con los Tempos puedes elegir cuántos apoyos quieres conseguir, y mediante un sistema de economía circular se premia con unos Tempos a todos los usuarios de la plataforma que hagan Retweet y Like a los Tweets que promocionas. Este es otro de los servicios que yo utilizo a diario, y que permite construir una comunidad de apoyos en Twitter automáticos, con personas que difunden todo lo que promociones de manera automática.

5.- Gestionar tu comunidad y lista de correo

Una de las cosas que puedes hacer es enviar un mensaje cada 15 días a todas las cuentas que te tienen en la agenda. Es una forma de comunicarte con gente que tiene interés en ti y te ha añadido a la agenda para seguirte. 

Figura 9: Número de usuarios que me tienen en su Agenda (4.364)

Este un servicio que no llega a ser una lista de correo como tal - está limitado a 2 comunicaciones al mes -, pero que es práctico cuando quieres avisar de actividades públicas que quieres comunicar a la gente que te sigue.

Figura 10: "Mensaje a todos tus seguidores" en MyPublicInbox

Yo lo utilizo bastante a menudo, y aviso de conferencias, de promociones de códigos descuento en campañas especiales, regalo entradas de eventos a los que voy a asistir, etcétera. Para ello, solo debes seleccionar la opción de enviar un mensaje a todos tus seguidores.

6.- Cuidar tu página de Wikipedia

Uno de los servicios que usamos de terceros es una plataforma para poder conocer las estadísticas y los cambios que se hacen tu cuenta de la Wikipedia. ( Si no tienes página de Wikipedia, también el equipo de MyPublicInbox te ayuda a ver si es posible hacerte una o no, que trabajamos con un equipo externo ). Cada mes recibirás un mensaje de Leire que te dará las estadísticas de visitas de tu página.

Figura 11: Informe de Wikipedia en MyPublicInbox

Y si alguien la modifica, recibirás una alerta que te dirá cuál es el cambio que se ha producido en tu página de la Wikipedia, e incluso si es un trolleo o un error, ver de qué manera se puede subsanar.

7.- Promocionar tu e-Commerce y tus productos de Amazon

Si tienes un e-commerce, en MyPublicInbox puedes difundir tus códigos descuentos promocionales, e incluso vender tus productos y servicios. Al final, la comunidad de usuarios de de MyPublicInbox tiene Tempos, que pueden canjear por códigos descuentos o tarjetas de dinero de tu e-commerce que luego la plataforma te convierte a dinero. En el caso de 0xWord, puedes conseguir los libros usando tus Tempos.

Figura 12: Vales y Tarjetas descuento en MyPublicInbox para e-commerce

Si tienes un e-commerce y quieres ver cómo introducir tus códigos promocionales, productos o servicios en MyPublicInbox, puedes hacerlo poniéndote en contacto a través de este formulario, y te explicarán todo el proceso.

Figura 13: Productos de Rodrigo Cortes en Amazon

Además, todos los perfiles públicos pueden promocionar en la web de su perfil sus productos de Amazon, que es una característica que se añadió hace ya un tiempo. También, además, puedes comercializar tus originales digitales.

Figura 14: Original en formato digital de Salvador Larroca (solo 20 copias firmadas)

8.- Salas de Chat

Otra de las características de comunicación que tiene la plataforma es la de poder crear Salas de Conversaciones con perfiles que te contactan. Es un canal de chat como el de otras muchas plataformas. 

Figura 15: Sala de conversación para cerrar una entrevista

Yo los utilizo para mantener sesiones con alumnos de cursos o asistentes a conferencias, y me permite tener un lugar de comunicación sin publicar mi identidad personal. 

9.- Crear tus propias imágenes con IA

Este es un servicio que se añadió a MyPublicInbox este año y que permite tener entrenado con tus fotografías un modelo de Stable Difussion con el que sacar imágenes generadas por Generative-AI de ti mismo, o de quién quieras.

Figura 16: Imagen generada con el prompt

"Chema as a hacker in hiper realistic punk art"

Es un recurso muy útil si eres de los que haces contenido en la red muy habitualmente o das charlas, ilustras artículos o tienes alta presencia en redes sociales.

10.- Posicionamiento en Internet

Dentro de los servicios que tienes en MyPublicInbox, hay muchos que son servicios gestionados por el equipo, que permiten tener Planes de Medios, Verificaciones en Redes Sociales, Incidentes de seguridad con cuentas en redes sociales, Eliminación de datos en Internet, etcétera.

Figura 17: Servicios para Perfiles Públicos en MyPublicInbox

Todos ellos son servicios que el equipo gestiona individualmente para impulsar el impacto de cada uno de los perfiles públicos en la red, de forma totalmente adaptada. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Check Azul en Gmail: Cómo conseguir que tus mensajes estén verificados y reducir el riesgo de ser Spam y el Phishing

Si eres un usuario de MyPublicInbox, habrás visto que las alertas y mensajes de comunicación, cuando te llegan a tu cuenta de Gmail, llegan con el un check azul verificado que identifica que el mensaje llega realmente de MyPublicInbox. Para ello, el equipo técnico ha implementado el estándar BIMI, que permite registrar la marca y garantizar que se han configurado correctamente los servidores que envían correo legítimo de de MyPublicInbox.

Figura 1: Check Azul en Gmail: Cómo conseguir que tus mensajes

estén verificados y reducir el riesgo de ser Spam y el Phishing

He hablado mucho de seguridad en el correo electrónico, ya que este caos maravilloso que es el e-mail hace que tenga muchas "goteras" por las que pasa el malware, el cibercrimen, el phishing, el spam, el spoofing, y muchas otras cosas. No es casual que por eso creáramos MyPublicInbox. Pero hoy quería contaros cómo es el proceso de poner ese Check Azul en los mensajes de correo electrónico legítimos de tu empresa cuando llegan a Gmail y servidores de correo que implementan el estándar BIMI.

Figura 2: Mensaje verificado de MyPublicInbox en Gmail

El proceso implica, primero, hacer los BASICS, y estos son los que ya conocéis de muchos artículos pasados. Hay que configurar correctamente los registros SPF, DKIM y DMARC, para conseguir pasar a la siguiente fase.

Figura 3: Configuración BASIC para BIMI

SPF o Sender Policy Framework le indica al servidor de correo electrónico del destinatario qué debe de hacer cuando reciba un mensaje que venga de una dirección IP de un servidor de correo electrónico saliente que no esté en la lista de los autorizados. Esto es, subir el SCL (Spam Confidence Level), descartarlo o darlo por bueno. Y el registro es de tipo TXT que tienes que configurar en DNS.

Figura 4: Registro SPF de MyPublicInbox.com

DKIM (Domain Key Identified Mail) es un sistema por el cual el correo electrónico, cuando sale del servidor de correo saliente, es firmado por una clave que está en el DNS de la organización del remitente. Así, cuando llega el mensaje, en el código del mensaje se puede ver qué clave de firma se utilizó.

Figura 5: Firma DKIM en código de mensaje recibido.

Se usa la calve domabs

Y por supuesto, se debe poder verificar esa clave en el registro DKIM correspondiente del servidor DNS de la organización, así que hay que configurar correctamente DKIM siguiente las especificaciones del servidor de correo saliente que estés utilizando.

Figura 6: Clave domabs de DKIM en DNS de MyPublicInbox

Por último, hay que configurar DMARC (Domain-based Message Authentication, Reporting & Conformance) que implica una coordinación de qué hacer con el mensaje en caso de diferentes situaciones con SPF y DKIM. Es decir, es un proceso de validación en cadena donde primero se obtiene el resultado de la validación SPF, luego la validación DKIM y en función de eso, se aplica la política DMARC. Lo expliqué en el artículo que le dediqué al registro DMARC.

Figura 7: Registro DMARC en DNS de MyPublicInbox

Si quieres que tu organización tenga el "Check Azul" de Gmail, tienes que configurar correctamente DMARC también en tus servicios DNS, para que se pueda comprobar correctamente. Y si es así, cuando envíes un correo electrónico a un destinatario de Gmail, en el código fuente del mensaje obtendrás un resultado similar a este.

Figura 8: SPF, DKIM y DMARC pasados. Vamos a por el BIMI

Ahora tienes que ir a la siguiente fase, que es registrar y certificar el logo de tu marca. Para ello, debes primero subir el formato gráfico del logo de tu marca que tienes registrado en el registro de marcas, así que si no has registrado tu marca, debes comenzar por ese paso. Luego, registra y sube el SVG de tu marca, como se explica en este artículo.

Figura 9: Sube el SVG del Logo de tu marca

Pero aún no has acabado, debes conseguir el certificado del registro de tu marca, que permita validar digitalmente que tu imagen está registrada a tu nombre. El VMC (Verified Mark Certificate), que puedes conseguir con el proceso que te explica este artículo.

Figura 10: Consigue el VMC

Perfecto, si ya tienes todo lo anterior, el siguiente paso es hacer el registro BIMI en tu DNS, que debe apuntar al SVG de tu marca certificada en el VMC, así que si intentas algún cambio, te van a denegar el proceso, porque siempre es un double-check.

Figura 11: Añadir registro BIMI al dominio

Con todo ello, y peleándote un poco con los equipos de soporte de Gmail, conseguirás el Check Azul para los correos electrónicos que envías desde tu empresa y acaban en buzones de Gmail y otros proveedores que soportan el estándar BIMI. 

Figura 12: Registro BIMI en DNS de MyPublicInbox

Si no lo tienes en tu empresa, ya tienes algo que hacer. Y si necesitas ayuda, contacta con nosotros que te podemos echar un cable, y así conseguirás el Verified Azul de Gmail para tus correos. Contacta con Leire en MyPublicInbox y te ayudamos con todo el proceso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cartuxeira: Recurriendo a las Meigas ( y al Machine Learning) para protegerse del Phishing

Este año hemos presentado en RootedCON 2023 el proyecto “Cartuxeira”, cuyo objetivo es proporcionar la información necesaria para evaluar si un mensaje de e-mail es confiable o no, haciendo uso de técnicas de Machine Learning e información recopilada de fuentes abiertas, para minimizar así, el riesgo de sufrir ataques de Phishing.

Figura 1: Cartuxeira - Recurriendo a las Meigas ( y al Machine Learning)

 para protegerse del Phishing

En el folclore gallego, Cartuxeira es un tipo de meiga que echa las cartas y siempre acierta en sus vaticinios, y parece que, desde el Siglo XIX que nacieron los primeros “spam” con los casos del denominado prisionero español, las meigas gallegas pare cen ser las únicas que podrán sacarnos de este problema. Por cierto, en el libro de Machine Learning aplicado a Ciberseguridad, se explica en el Capítulo VI un ejemplo aplicado a clasificar Spam, en "Cartuxeira", vamos a hacerlo con el Phishing y añadiendo OSINT.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

A día de hoy, la principal herramienta que cualquier ciudadano de a pie dispone para luchar contra el Phishing es la concienciación. Sin ir más lejos, y aprovechando para recordar las recomendaciones de seguridad del INCIBE contra el Phishing, lo primero en lo que hay que fijarse es en el remitente y su dirección de e-mail y si confiamos en ella. Lo segundo, el asunto y objetivo del e-mail y ver si traslada urgencia o trata de que compartamos información de carácter personal como usuario y contraseña de alguno de los servicios que utilizamos o nuestra información financiera o medios de pago. El tercer punto es revisar si la redacción del mensaje es correcta. Y por último, los enlaces y documentos adjuntos en dicho e-mail.

Figura 3: Recomendaciones de seguridad del INCIBE ante ataques de Phishing

Este tipo de recomendaciones de seguridad pueden tener llegada y calado siempre y cuando se tengan conocimientos básicos de informática, pero en el caso de todas esas personas mayores, como por ejemplo padres o abuelos, que se están viendo empujados a la digitalización sin conocimientos de informática, pueden no ser suficientes. 

Sin ir más lejos, si tu madre recibe un e-mail de “Amazon” con dirección “info [at] ammazon [dot] com”, ¿cómo le explicas que el dominio contratado por la empresa es con una “m” y no con dos si está viendo que el nombre del correo es Amazon? ¿Te pondrías a explicarle WHOIS, y registros DNS como el A y el MX? 

Y ya ni hablemos de DMARC, SPFv1 o SPFv2, SenderID o DKIM en este "caos" maravilloso que el correo electrónico y que ha hecho que la dirección de e-mail se haya convertido en nuestro usuario de los servicios de Internet.

Estado del arte del Phishing e importancia de la dirección de email

Desde luego, si la única arma contra el phishing es la concienciación, nos espera un largo invierno por delante. Sin ir más lejos, en 2022 España se situó como el tercer país a nivel global con más amenazas detectadas vía e-mail con el 21% del total y sexto a nivel de ciberataques detectados y recibidos. Teniendo en cuenta los diferentes nombres sexys del Phishing (Phishing, Vishing & Smishing), el 96% de todos esos ataques se realizaron vía correo electrónico, lo cual, con tecnologías como ChatGPT y su capacidad para realizar redacciones realistas de correo, empieza a complicarse mucho el identificar fallos gramaticales en el cuerpo del mensaje por parte de un humano. Por este motivo, ¿por qué no poner foco en el primer punto de la concienciación?: la dirección de email.

Figura 4: Partes de una dirección e-mail

Si observamos una dirección de e-mail, podríamos analizarla desde cuatro puntos de vista diferentes. El primero, el dominio, para el cual podríamos revisar si está en blacklist, se ha generado utilizando técnicas DGA, o con fines maliciosos vía cybersquatting (ocupación del dominio) y la búsqueda de estos como forma de proteger tu empresa. En segundo lugar, la dirección de e-mail al completo, que del mismo modo nos permite revisar si está en blacklist o se ha creado con malas intenciones. En tercer lugar, la actividad de dicho e-mail, si tiene presencia en Internet y desde cuándo, leaks en los que aparece, etcétera. Y por último, algo ya más vinculado al mundo empresarial sería el enfoque del KYC (Know Your Customer) en el que se vincula dicha dirección con IP o identidad digital de una persona concreta.

Técnicas utilizadas para generar e-mails de Phishing (DGA y EGA)

En primer lugar, cada vez más se están utilizando técnicas heredadas del mundo del malware como la generación de dominios vía DGA (Domain Generation Algorithm). Este tipo de técnicas funcionan similar a como funciona un token hardware o software que genera una OTP. En este caso, el atacante genera un algoritmo de generación de dominios y una semilla aleatoria que es la misma que la incorporada en el malware. De este modo, el servidor de Command & Control va dando de alta y baja los dominios en el DNS de manera automática y el malware desplegado, con la sincronización de su semilla, genera los mismos dominios para poder conectarse a él fácilmente. 

Figura 5: Diagrama explicativo del uso de DGA en malware

Esto obviamente dificulta una gestión de blacklisting por parte de los equipos de seguridad en cualquier organización. Sendos ejemplos de e-mails generados con este tipo de técnica los recibimos a día de hoy sin parar en nuestras bandejas de entrada y de Spam como se puede observar en los ejemplos de la siguiente figura.

Figura 6: Ejemplo de phishing generado con técnicas DGA

Por otro lado, también existe otra técnica que es mucho más difícil de detectar y que en este trabajo hemos acuñado como algoritmos de generación de e-mails o EGA (Email Generation Algorithm). Esta técnica se basa en engañar al ojo humano aprovechando la funcionalidad (o bug) de nuestro cerebro que nos permite realizar una lectura predictiva aunque las letras de la palabra estén mal escritas. 

Figura 7: Ejemplo de cómo funciona la lectura predictiva de nuestro cerebro

Éste es un campo de neurociencia bastante interesante, del cual, un artículo académico ha impulsado nuestro trabajo de investigación hacia este enfoque: A. Agrawal, KVS Hari and SP Arun, “A compositional neural code in high-level visual cortex can explain jumbled word reading”, 2020. 

Figura 8: Ejemplo de generación de e-mails vía EGA

Teniendo en cuenta este aspecto, la siguiente figura muestra los casos de uso contemplados dentro de nuestro término acuñado EGA, el cual incluye el cybersquatting, para el correo legítimo de Netflix.

Proyecto Cartuxeira

Cartuxeira es un servicio cuyo objetivo principal es identificar ataques de Phishing analizando exclusivamente la dirección de e-mail. Para ello, este proyecto utiliza técnicas de Machine Learning e información de fuentes abiertas OSINT para la identificación de e-mails maliciosos. 

Figura 9: Cartuxeira en GitHub

Una de las premisas que hemos tenido a la hora de desarrollar este proyecto ha sido su simplicidad de utilización y despliegue. Por ello, todo el código fuente de la solución se puede encontrar (incluyendo modelos de Machine learning) en GitHub.  La solución se ha dockerizado de tal forma que la arquitectura de Cartuxeira sería la mostrada en la siguiente figura:

Figura 10: Arquitectura de Cartuxeira

Como se puede observar en la arquitectura de Cartuxeira, existen diferentes componentes cuya información es agregada por el “Email Risk Composer” para retornar el riesgo identificado para el e-mail consultado. A continuación haremos zoom sobre los cuatro componentes que se muestran en la arquitectura.

DGA Detector

Como base de conocimiento para el DGA Detector, partimos de un dataset de 890.000 dominios legítimos y 225.000 dominios ilegítimos generados vía DGA. Tras el pre-procesado y el etiquetado de los datos, aplicamos un proceso iterativo de prueba de distintos modelos de Machine Learning y observamos que casi todos fallaban al detectar el dominio malicioso, incluso después de aplicar técnicas para aliviar el desbalanceo de la muestra. Esto sucedía en casi todos los modelos (RF, Regresión Logística, CNN) excepto en Perceptrón Multicapa (MLP), el cual detectaba con mayor precisión los dominios DGA que los legítimos. Aun así, los resultados no fueron lo suficientemente buenos como para considerar añadir estos algoritmos en la herramienta.

Figura 11: DGA-Detective en GitHub

En este escenario, decidimos incluir el proyecto DGA-Detective disponible en Github. Dicho proyecto ha sido desarrollado por el equipo de investigación SOCCRATES bajo financiación de la Unión Europea (Horizonte 2020). Su modelo se basa en redes TCN (Redes Neuronales Convolucionales Temporales), que son una variación de las redes neuronales convolucionales para tareas de modelado de secuencias, al combinar aspectos de las arquitecturas RNN y CNN.

Finalmente, al pasar nuestro dataset de prueba sobre el modelo de DGA-Detective, los resultados fueron de una exactitud de acierto del 96% y del 99% para cada una de las clases (No-DGA y DGA respectivamente), superando ampliamente al resto de modelos probados.

EGA Detector

Como base de conocimiento para el EGA Detector, hemos utilizado los leaks incluidos en el proyecto “Odin: Footprinting en la era del BigData” que se presentó en RootedCON 2016 entre Alejandro Ramos y Elías Grande. En dichos leaks encontramos 150 millones de e-mails, que tras eliminar duplicados e inconsistencias nos permitió disponer de 105 millones de emails legítimos. Por otro lado, recopilando e-mails reportados como maliciosos en Internet y abusando de la “feature” de lectura predictiva humana, generamos cerca de los 300 millones de e-mails maliciosos. 

Tras el pre-procesado y disponer de los datos etiquetados, aplicamos un proceso iterativo de prueba de distintos modelos: MLP, CNN, Regresión Logística y XGBoost. Los mejores resultados los presentó RandomForestClassifier (RFC), que es un ensamble de árboles de decisión donde la clase predicha es la más votada entre todos los árboles del ensamble. 

Este caso no es aislado ya que es algo frecuente que el algoritmo de clasificación RFC presente unos resultados mejores que sus compañeros clasificadores como se plasma en uno de los papers académicos más referenciados a día de hoy sobre el tema: M. Fernández-Delgado, E. Cernadas, S. Barro and D. Amorim, “Do We Need Hundreds of Classifiers to Solve Real World Classification Problems?”, 2014, .

Finalmente, tras aplicar técnicas de cross-validation para la optimización de los hiper-parámetros de RFC, la exactitud de predicción de los e-mails no legítimos (la precisión del modelo) es del 92% y el accuracy (precisión total del modelo) es de un 84%.

BlackList Service

La solución también incluye un servicio propio de blacklist tanto para e-mails como para dominios. Este servicio permite un “botón del pánico” para elevar el nivel de riesgo de aquellos e-mails que no hayan sido detectados como DGA o EGA. Además, el almacenamiento de estas blacklists sirve como base de conocimiento para futuros re-entrenamientos de los modelos ya que la degradación de los modelos de Machine Learning es común y de ahí que sea necesario los re-entrenamientos.

Servicios de terceros

Para cerrar el círculo, se ha enriquecido Cartuxeira con información de servicios de terceros. A esta información, al depender de la calidad del dato de cada servicio, se le da menos peso que a los cálculos realizados por los detectores DGA y EGA. Aun así, toda la información recopilada sirve para enriquecer de información la herramienta. Entre los servicios utilizados, destacamos DNSBL para la comprobación de blacklists, y Simple Email Reputation para la investigación de la presencia de un e-mail en Internet.

Conclusiones

Para finalizar, indicar que, un despliegue de Cartuxeira de manera centralizada en un organismo institucional o empresa puede beneficiar tanto a ciudadanos como empleados en la prevención del Phishing. Todo ello utilizando sólo direcciones de e-mail sin necesidad de analizar el cuerpo del e-mail o entrenar modelos con dicho cuerpo de los mensajes, lo cual podría suponer fuga de información confidencial (en función de la ubicación de los motores de Machine Learning) o problemas de privacidad por el contenido en cuestión.

Los algoritmos EGA plantean un nuevo enfoque a considerar, el cual abre múltiples vías de mejora e innovación gracias a la disponibilidad del código de Cartuxeira, para que por fin, la concienciación no sea la única herramienta disponible contra el Phishing.

Figura 12: Razones por las que usar un buzón de MyPublicInbox

para estar contactable en Internet

Por último, recordad que exponer vuestra dirección de e-mail en Internet no es la mejor de las ideas, hay otras formas de estar contactable en la red y ponérselo difícil a los que quieran robar tu identidad, a los que quieran enviar Spam o Phishing, servicios como MyPublicInbox nos ayudan a estar contactables en la red sin exponer a cualquiera tu dirección personal de e-mail (que te va a acompañar mucho tiempo en tu vida), y por ahí puedes contactar con nosotros también.

Autores: Elias Grande y Ana de la Torre

Contactar con Elias Grande

Contactar con Ana de la Torre