Autor: Chema Alonso, Microsoft MVP en Enterprise Security – Consultor de seguridad en Informatica64
Chema@informatica64.com http://www.elladodelmal.com http://twitter.com/chemaalonso
El presente artículo es un largo recorrido por las principales opciones de seguridad que ofrece Windows Live Hotmail para sus usuarios con el objetivo de ayudarles a protegerse contra las amenazas de seguridad más importantes: Spam, robo de contraseñas, acceso a los mensajes de correo por medio de analizar la red, ataques de denegación de servicio por bloqueo de cuentas, suplantación de identidad y estafa. Las amenazas son muchas, así que hacen falta muchas herramientas para luchar en esta guerra.
El Spam, ese gran enemigo
El correo no deseado, conocido como Spam en virtud al mítico sketch del grupo humorístico Monty Python, es una de las lacras del correo electrónico. Sin embargo, la naturaleza de este tipo de mensajes tiene su origen en diferentes nodos, que hacen que la clasificación de este correo sea una tarea crítica y de, aunque a priori no lo parezca, de las que más tecnologías necesitan.
En el Security Intelligence Report volumen 9 se recogen algunas clasificaciones de este tipo de correos tan molestos para muchos de los usuarios que van desde estafas, sitios de phishing, publicidad no deseada, hasta la venta de diplomas falsos.
Figura 1: Evolución del spam según el SIR volumen 9
En los servidores de correo corporativos, los filtros de Microsoft obtienen ratios que indican que solo 1 de cada 47 correos electrónicos pasan las comprobaciones antispam. Sin embargo, es normal encontrar con gente que se queja porque aún le llegan correos de spam a sus buzones. ¿Cómo es normal que pase esto? y, lo más importante, ¿qué podemos hacer para evitarlo?
Listas de correo, boletines de noticia y suscripciones automáticas
Al mismo tiempo que muchos usuarios se quejan de que les llega correo spam, muchas empresas se quejan de que sus e-mails de comunicación a clientes no están llegando a buzones de destinatarios. El problema es que, como se puede suponer, no están pasando los filtros antispam. Esto es así porque un correo spam, y un correo legítimo de una empresa, en estructura del mensaje y forma de envío, no se diferencian demasiado y, por supuesto, el servidor de correo, a priori, no tiene información de si ese usuario está suscrito o no a esa lista por medio de un formulario en papel. Existen, por tanto, muchos correos que son spam para determinados usuarios, mientras que para otros son correo legitimo esperado, e incluso, de vital importancia.
Para conseguir que el buzón de los usuarios esté limpio de spam es necesario que las tres partes implicadas en la comunicación, es decir, los servicios de correo electrónico del usuario emisor, los servicios de correo del usuario destinatario y el propio usuario, estén coordinados y focalizados en mantener limpio su buzón trabajando cooperativamente. Si alguna de las tres partes falla, siempre habrá situaciones no deseadas.
Tecnología Microsoft SmartScreen y el SCL Spam Confidence Level
Debido a que cada correo es un universo en sí mismo, se utiliza un número único para determinar si el correo es o no spam. Este número se conoce como SCL (Spam Confidence Level) e indica la probabilidad de que sea o no un correo no deseado. Si tiene un valor 0 se considera un correo un que no es spam mientras que si tiene un valor 9 es un spam seguro. Los administradores de los servidores de correo crean tres franjas jugando con estos números para eliminar el correo, enviarlo a la bandeja de entrada o ponerlo en la carpeta de spam. Por ejemplo, si el correo tiene un SCL menor que 4 entonces ponlo en la Bandeja de Entrada, si está entre 5 y 7 que vaya la carpeta de correo no deseado y si es superior a 7 entonces elimínalo.
Para conseguir afinar este número para cada correo en cada buzón de usuario y acertar, es muy importante tener presente la opinión de cada uno de las personas que lo recibe, por eso, cuando un correo que llega a la bandeja de entrada debería ser spam, es importante poder reportarlo y, lo más importante, hacerlo.
Windows Live Hotmail ha añadido, con las mejoras en SmartScreen, tecnología que ajusta ese SCL para cada usuario en función no solo del reporte que haga de ese correo, sino además, de las acciones que haga ese usuario en concreto con ese mensaje.
Supongamos un usuario que ha recibido durante 4 días correos electrónicos que ha eliminado sin ni tan siquiera abrir. Es evidente que en las características que el usuario ve, como son el título y el remitente, hay algo que directamente le hace a, ese usuario, reconocerlo como un correo no deseado y eliminarlo. Windows Live Hotmail subirá el SCL en los correos que tengan esas características. En un determinado momento en el tiempo, el correo pasará a la bandeja de correo electrónico no deseado.
Figura 2: Correo detectado como Spam por la tecnología Microsoft SmartScreen. Opción para cambiarlo a correo seguro. Por si el correo es peligroso, el contenido no se muestra.
Si de allí es rescatado por el usuario con la opción de marcar como correo deseado, entonces, automáticamente, se reducirá su SCL y el correo volverá la bandeja de entrada. Si no es rescatado, continuará subiendo su SCL hasta que ya directamente, todos los correos con esas características sean eliminados. Esta tecnología hace mucho más cómodo para un usuario que el buzón se adapte a sus necesidades.
Hay que recordar que Microsoft SmartScreen, además de haber añadido este comportamiento adaptativo al usuario, sigue manteniendo el análisis heurístico de detección de spam por análisis de la estructura del correo, que será muy importante en el cómputo del valor SCL.
Por supuesto, en cualquier momento el usuario puede usar las opciones de marcar un correo como Spam o como phishing que incidirán explícitamente en el SCL de forma negativa. Como se puede apreciar en la imagen, existe una combinación de teclas para hacerlo de forma más rápido.
Figura 3: Opciones de reporte como spam por medio de menú o combinación de teclas rápidas y reporte de un e-mail como phishing.
Microsoft SmartScreen y el Sender Reputation Level
Para que un correo entre en los servidores de correo del destinatario es necesario que lo envíe el servidor de correo del remitente. Este servidor puede ser el servidor legítimo de un dominio, un servidor vulnerado o incluso un falso servidor de correo electrónico que no es más que un equipo comprometido que se está usando para suplantar a un servidor legítimo de un dominio.
Figura 1: Ejemplo de configuración de SRL en filtros antispam de MS Forefront TMG 2010
Para ajustar el valor SCL de un determinado correo electrónico también se mira la reputación del servidor de correo electrónico que está entregando el mensaje, para ello Windows Live Hotmail con la tecnología Microsoft SmartScreen utiliza un identificador que se conoce como SRL (Server Reputation Level) o Nivel de Reputación del Servidor. Este valor se calcula para cada dirección IP de un servidor y, además de mirar la información relativa a esa dirección IP, es decir, si pertenece a la empresa del dominio o si está en alguna lista negra, se miran los valores SCL que están recibiendo todos los correos enviados por ese servidor.
Supongamos un servidor que está enviando mil correos electrónicos de 50 en 50. Si los 50 primeros han recibido un SCL muy alto, la reputación de ese servidor empeorará y, por tanto, el valor SCL que recibirán los siguientes 50, con lo que al final no llegarán los correos enviados desde ese servidor.
Esta forma de funcionar hace que un servidor que está siendo utilizado para enviar Spam, ya sea porque se montó para ello, o porque ha sido vulnerado, tenga una vida cada vez más corta. Esta será aún más corta cuando el sistema tenga muchos usuarios y reciba muchos correos, ya que la información de muchos usuarios ayudará a identificar rápidamente a los servidores maliciosos.
Mis spam particulares
Uno de los problemas que existen con los buzones que tienen muchos años de creación, radica en que el usuario, sin querer, o sin darse cuenta, o porque lo hizo hace mucho tiempo, está suscrito a una newsletter, boletín o lista de correo que está siendo enviada por alguien legítimo a muchos usuarios que la esperan, y por tanto que obtiene un valor SCL siempre muy bajo. Sin embargo, para ese usuario en concreto es un correo no deseado.
Para ello, en Windows Live Hotmail se han agregado las nuevas opciones de limpieza de buzón, que permiten buscar & destruir el correo de ese remitente para siempre. Esta será una configuración personal de cada usuario y que le permitirá tener un buzón a su gusto.
Figura 2: Opciones de Sweeping de correos
La suplantación de identidades y el filtro SPF
Los servicios de correo electrónico, cuando fueron creados, no se diseñaron pensando en que alguien pudiera enviar un correo electrónico con una dirección de remitente que no fuera la suya. Sin embargo, esto se puede realizar por lo que es necesario establecer tecnologías que intenten evitarlo.
Para ello, la gran mayoría de las empresas en Internet usa una tecnología conocida como SPF (Sender Policiy Framework) que intenta detectar cuando se está falseando una dirección de correo electrónico.
Para que la tecnología funcione es necesario que los dueños de los dominios de Internet identifiquen tres parámetros:
1) Qué características se deben evaluar en el correo que se reciba: Esto es así porque se pueden evaluar solo el dominio y la dirección IP que la envía, como se hace con spf1, o también los campos de si ha sido reenviado en nombre de – conocido como PRA – en spf2. Si se utiliza spf2, muchas de las listas de correo electrónico, en las que es la lista de correo la que reenvía el correo en nombre de una dirección de correo, que es la que aparece en el remitente, serían tomados como correos falsos.
2) Cuáles son los servidores autorizados para enviar mensajes de ese dominio: La empresa indica, mediante nombres de servidores o direcciones IP cuáles son los equipos que envían el correo legítimo de ese dominio.
3) Qué se debe hacer cuando un correo electrónico de su dominio no haya sido enviado desde su dominio: Esta es la política, que puede ser:
a. –all: Hardfail: El correo debe ser eliminado. Es un correo falso.
b. ~all: Softfail: El correo debe sufrir un incremento en la peligrosidad. Se deben añadir alertas y subir el SCL. Es altamente probable que sea falso.
c. ?all: Neutral: La probabilidad de que sea o no spam es neutral.
d. +all: Pass: Aunque no llegue de estas direcciones IP no tiene por qué ser falso.
En cualquier caso, si el corro viene de las direcciones IP marcadas en la lista de servidores autorizados, entonces debe ser tomado como una dirección legítima e incidir, en todo caso, positivamente en el valor del SCL.
Esta información se configura en un registro TXT dentro del DNS de los dominios de los remitentes, y como se puede ver, tiene amplio soporte en Internet. Este valor se puede consultar cómodamente a través de muchos asistentes en Internet, como este que tiene Microsoft: http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
El registro SPF de Hotmail.com tiene la siguiente configuración:
Como se puede ver, usa v=spf1, es decir, mira el valor de la dirección IP del servidor que envía el correo y consulta la dirección del que envía el mensaje, es decir, no bloquea las listas de correo ni los correos “en nombre de”. Esto es, como veremos, lo más común en Internet. Después, hay una lista de servidores autorizados y, por último, podemos ver que la política es softfail, con lo que en aquellos servidores de correo electrónico donde se esté comprobando la autenticidad de la dirección con SPF es altamente improbable de suplantar una dirección de correo electrónico de @hotmail.com Para evitar el phishing, muchos sistemas bancarios y empresas utilizadas en este tipo de estafas, utilizan políticas más férreas.
| Bank Of AmericaBankofamerica.com | v=spf1 include:_sfspf.bankofamerica.com include:_txspf.bankofamerica.com include:_vaspf.bankofamerica.com include:_cfcspf.bankofamerica.com ~all |
| Banco Central de la República Argentina bcra.gov.ar | v=spf1 mx ptr ~all |
| Facebook.com | v=spf1 ip4:69.63.179.25 ip4:69.63.178.128/25 ip4:69.63.184.0/25 ip4:66.220.144.128/25 ip4:66.220.155.0/24 ip4:66.220.157.0/25 mx -all |
| Twitter.com | v=spf1 ip4:199.16.156.0/22 ip4:128.121.145.168 ip4:128.121.146.128/27 mx ptr a:postmaster.twitter.com mx:one.textdrive.com include:cmail1.com include:aspmx.googlemail.com include:support.zendesk.com –all |
| Gmail.com | v=spf1 redirect=_spf.google.com_spf.google.com= “v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ?all” |
| Google.com | v=spf1 include:_netblocks.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all |
| Banco de España (bde.es) | v=spf1 a:out-smtp1.bde.es a:out-smtp2.bde.es –all |
| La Caixa Lacaixa.es | v=spf1 ip4:130.117.98.78/32 ip4:213.229.186.0/27 ip4:217.148.73.96/28 ip4:217.148.74.96/28 ip4:217.148.73.160/28 ip4:217.148.74.160/28 ip4:217.16.255.27 ip4:80.68.128.18/31 mx exists:%{s}.S.%{i}.I.spflog.lacaixa.com -all |
Como se puede ver, la política que usan sitios como Facebook, Twitter, La Caixa o el Banco de España es la más estricta, otros como Banco Central de la República Argentina o Google es Softfail, al igual que la que aplica Hotmail.com. Sin embargo llama poderosamente la atención como Gmail aplica una política muy relajada, haciendo fácil suplantar una cuenta con una dirección @gmail.com.
Aplicación del filtro SPF para bloquear correos falsos y de phishing
No solo es necesario que el dueño del domino identifique sus servidores y la política que desea que se aplique, también es necesario que el servidor que recibe el correo electrónico lo tenga en cuenta y lo aplique. Los servidores de Windows Live Hotmail aplican esta información, de tal manera que si la política es Hardfail el correo NUNCA entrará en un buzón de hotmail. Si, por el contrario es Softfail y el SCL del mensaje le permite entrar en el buzón, Windows Live Hotmail lo entregará con una alerta de seguridad roja indicando que es muy probable que sea falso y/o peligroso.
Figura 6: Correo de suplantación de un correo con política softfail con un SCL de spam en la bandeja de correo no deseado y con alerta de seguridad
El caso de Gmail y el filtro de SPF
Es curioso, sin embargo, el comportamiento de Gmail.com ya que los correos suplantados, aunque la política configurada por el registro SPF sea Hardfail, es decir, que deban ser eliminados porque son falsos, acaban en la Bandeja de Entrada del usuario.
En una prueba con un correo falso con el dominio de Lacaixa.es, una entidad bancaria española que tiene configurada la política SPF como Hardfail, se puede ver como el correo entra en la Bandeja de Entrada sin ninguna alerta de seguridad. Además, se da la curiosa coincidencia de que Lacaixa.es tenía contratada la publicidad con Google, con lo que, como se puede ver, los anuncios que salen al lado, a la hora de visualizar el correo, son de la propia entidad.
Figura 7: Correo de phishing suplantando La Caixa.es con política SPF hardfail entra en la bandeja de entrada y con publicidad de la propia entidad, lo que le da aún más credibilidad a los ojos del usuario que lo recibe
En un principio se puede pensar que Gmail no está comprobando estos registros SPF del dominio de La Caixa, pero como se puede comprobar al ver el cuerpo del mensaje sí lo está haciendo y conoce, expresamente la política que quiere La Caixa que se aplique, pero no obstante, se la salta.
Figura 8: Gmail si comprueba el registro SPF, pero no aplica la política marcada.
DKIM, Mutual-TLS y SenderID
SPF no es la única solución, de las llamadas short temp, que trata de identificar cuando un correo electrónico es legítimo y cuando está siendo suplantado el remitente. Por supuesto, el uso de sistemas de firma digital como S/MIME o PGP resolverían este problema, pero por desgracia no está extendido su uso ni su comprobación. Otras aproximaciones a solucionar este problema son:
– DKIM – DomainKeys Identified Mail: Esta solución busca implementar un sistema de firmas digitales en los servidores que envian los correos. Así, cuando un servidor recibe un correo de un determinado dominio, si viene firmado con DKIM en una cabecera extra del mensaje de correo electrónico, entonces se busca la clave pública del servidor que firmo el mensaje y se comprueba si realmente ha sido firmado por ese servidor de ese dominio. Si es así, se da como legítimo porque se ha comprobado su autenticidad.
Esta tecnología fue impulsada por Yahoo, Cisco y Google, con el objetivo de garantizar que el correo es legítimo, no que ha sido falseado, así, a pesar de que se puede establecer una política que especifique lo que se debe hacer con el correo firmado, no es necesario. Ejemplo de esto es Gmail, que ni tan siquiera tiene creado el registro de DKIM, a pesar de que firma sus correos legítimos con DKIM.
Además, a pesar de que está terminado el draft desde el año 2007, no ha sufrido un apoyo mayoritario en Internet, debido a quejas en el coste de despliegue y la utilidad de su firma contra técnicas de spoofing, ya que no firma todo el mensaje. A día de hoy, incluso la propia Yahoo tiene el sistema en pruebas “t=y” (Test=yes)
– Mutual-TLS: Una de las críticas más comunes es a DKIM es el coste de despliegue para un sistema que no garantiza 100% la autenticidad del mensaje ni la integridad del mensaje completo. Para ello Microsoft está implementado un sistema, actualmente solo entre servidores Microsoft Exchange que lo tengan habilitado llamado Mutual-TLS. Este sistema utiliza un canal TLS cifrado entre dos servidores de correo, el que envía y el que recibe. Ambos se autentican mutuamente y, cuando se han reconocido como servidores legítimos de la organización construyen un túnel TLS cifrado por el que envían todos los mensajes.
Esta arquitectura permite, a la hora de configurar los servidores de correo, no solo autenticar los correos de un determinado dominio, sino además proteger la información de los mismos en tránsito.
– SenderID: Este es nombre que recibe la implementación del filtrado basado en el registro SPF por parte de Microsoft. Se marca como versión spf2 y es el único filtro que permite el filtrado por PRA, tal y como se explicó en el funcionamiento de SPF. Actualmente es compatible con Sender Policy Framework totalmente. Con lo que los servidores de correo Exchange que usan SenderID funcionan tanto si la organización ha implementado registros spf1 como spf2, de igual forma que hacen los servidores de Hotmail.com
Spam desde cuentas de contactos
Uno de los mecanismos que están utilizando los sistemas de envío de spam, sobre en todo en Hotmail debido a la protección que ofrece SmartScreen, es la de usar cuentas robadas de Hotmail para hacer el envío de correos a los destinatarios de Hotmail.
Figura 1: Mail de spam desde un contacto de Windows Live Messenger
En este caso, este Spam que se puede ver en la imagen viene desde uno de los contactos de Windows Live Messenger y desde un servidor de Hotmail, por lo que el SCL de los correos de ese remitente son muy bajos y hace que entren en la bandeja de entrada, a pesar de que se puede ver que es un mail de Spam.
Figura 2: Viendo el código del mensaje se puede comprobar que procede de Hotmail
Esto se produce porque los spammers roban las contraseñas de Windows Live Hotmail utilizando troyanos, botnets, keyloggers, etcétera. Estas cuentas robadas, así como las de otros muchos servicios de Internet, de vez en cuando son publicadas en Internet por mafias que no están interesadas en ellas, con lo que los spammers solo tienen que estar atentos a estas publicaciones y usarlas.
Figura 3: Sección de un fichero de 10.000 contraseñas que está publicado en Internet desde Mayo de 2010
Para solucionar este problema las soluciones que se pueden aplicar serán las vistas a en los siguientes artículos de esta serie.Como siempre y como recomendación, crearos una cuenta de Windows Live Hotmail para comprobar su seguridad por vosotros mismos .
Protección de la cuenta de usuario
Lo primero que hay que hacer, en el caso de que sea un contacto, es intentar avisarle de la situación que se está produciendo de que alguien está utilizando su cuenta para enviar Spam. Esto puede ser porque le hayan robado la contraseña, o porque tenga un malware instalado en la máquina.
Para evitar el robo de contraseña hay que aplicar las medidas de protección habituales para cualquier credencial, como son:
– Utilizar contraseñas complejas.
– Cambiarlas regularmente.
– Utilizar sistemas de recuperación de contraseñas no adivinables
– No teclearla en equipos o redes inseguras.
Windows Live Hotmail ha añadido, con el fin de mejorar estas protecciones, nuevas tecnologías:
Códigos un único uso
Figura 1: Login con Código
Una de las características que ayudan a evitar el robo de cuentas es el uso de Códigos de un solo uso. Su funcionamiento es muy sencillo, basta con asociar tu número de teléfono a tu cuenta y solicitar un código de un solo uso. Este código estará en activo hasta que se utilice, por lo que puedes almacenarlo donde quieras, pero que sea seguro. Cuando te vayas a conectar desde una máquina insegura, basta con seleccionar la opción de autenticarse con el identificador recibido en el mensaje. Si alguien roba tu contraseña, nunca podrá utilizarla.
Además, asociando tu número de teléfono a la cuenta puedes recuperar la contraseña, no solo por pregunta secreta o correo electrónico asociado, sino también recibiendo un SMS en tu teléfono móvil. Para ello puedes añadir tu teléfono en las opciones de cuenta.
Figura 2: Asociación de número de teléfono móvil a cuenta de Windows Live
Aviso de conexión de sesión múltiple
Otra de las buenas características de seguridad que ayuda a detectar una situación de riesgo con la cuenta es la alerta de múltiples sesiones. De esta forma, si un usuario está conectado con tu cuenta, tú recibirás un mensaje que te informa del riesgo.
Figura 3: Alerta de sesión múltiple a Windows Live desde distintas ubicaciones
Esta situación, en sistemas como Gmail no está implementada, y da puede dar situaciones como esta que se puede ver en la imagen siguiente, donde dos personas mantienen, con la misma cuenta, una conversación con un tercero sin que nadie sepa que hay dos sesiones abiertas.
Figura 4: Varias sesiones de la misma cuenta chateando con la misma persona
Solución Antimalware
Por supuesto, una de las mejores maneras de proteger un equipo con el fin de que no sea infectado por malware, es tener una solución antimalware en el ordenador. Existen buenas soluciones profesionales, y muchas de ellas gratuitas para los usuarios finales, como Microsoft Security Essentials, que puede ser descargado desde la siguiente URL:http://www.microsoft.com/Security_Essentials/
Figura 5: Microsoft Security Essentials
Evidentemente, una solución antimalware no es una bala de plata, por lo que además es conveniente hacer un uso seguro del equipo y tenerlo protegido. Para ello es recomendable no navegar por Internet con cuentas privilegiadas, tener el software actualizado y no ejecutar programas de los que no se conoce su procedencia.
l presente artículo es el principio de un largo recorrido por las principales opciones de seguridad que ofrece Windows Live Hotmail para sus usuarios con el objetivo de ayudarles a protegerse contra las amenazas de seguridad más importantes: Spam, robo de contraseñas, acceso a los mensajes de correo por medio de analizar la red, ataques de denegación de servicio por bloqueo de cuentas, suplantación de identidad y estafa. Las amenazas son muchas, así que hacen falta muchas herramientas para luchar en esta guerra.
El Spam, ese gran enemigo
El correo no deseado, conocido como Spam en virtud al mítico sketch del grupo humorístico Monty Python, es una de las lacras del correo electrónico. Sin embargo, la naturaleza de este tipo de mensajes tiene su origen en diferentes nodos, que hacen que la clasificación de este correo sea una tarea crítica y de, aunque a priori no lo parezca, de las que más tecnologías necesitan.
En el Security Intelligence Report volumen 9 se recogen algunas clasificaciones de este tipo de correos tan molestos para muchos de los usuarios que van desde estafas, sitios de phishing, publicidad no deseada, hasta la venta de diplomas falsos.
Figura 1: Evolución del spam según el SIR volumen 9
En los servidores de correo corporativos, los filtros de Microsoft obtienen ratios que indican que solo 1 de cada 47 correos electrónicos pasan las comprobaciones antispam. Sin embargo, es normal encontrar con gente que se queja porque aún le llegan correos de spam a sus buzones. ¿Cómo es normal que pase esto? y, lo más importante, ¿qué podemos hacer para evitarlo?
Listas de correo, boletines de noticia y suscripciones automáticas
Al mismo tiempo que muchos usuarios se quejan de que les llega correo spam, muchas empresas se quejan de que sus e-mails de comunicación a clientes no están llegando a buzones de destinatarios. El problema es que, como se puede suponer, no están pasando los filtros antispam. Esto es así porque un correo spam, y un correo legítimo de una empresa, en estructura del mensaje y forma de envío, no se diferencian demasiado y, por supuesto, el servidor de correo, a priori, no tiene información de si ese usuario está suscrito o no a esa lista por medio de un formulario en papel. Existen, por tanto, muchos correos que son spam para determinados usuarios, mientras que para otros son correo legitimo esperado, e incluso, de vital importancia.
Para conseguir que el buzón de los usuarios esté limpio de spam es necesario que las tres partes implicadas en la comunicación, es decir, los servicios de correo electrónico del usuario emisor, los servicios de correo del usuario destinatario y el propio usuario, estén coordinados y focalizados en mantener limpio su buzón trabajando cooperativamente. Si alguna de las tres partes falla, siempre habrá situaciones no deseadas.
Tecnología Microsoft SmartScreen y el SCL Spam Confidence Level
Debido a que cada correo es un universo en sí mismo, se utiliza un número único para determinar si el correo es o no spam. Este número se conoce como SCL (Spam Confidence Level) e indica la probabilidad de que sea o no un correo no deseado. Si tiene un valor 0 se considera un correo un que no es spam mientras que si tiene un valor 9 es un spam seguro. Los administradores de los servidores de correo crean tres franjas jugando con estos números para eliminar el correo, enviarlo a la bandeja de entrada o ponerlo en la carpeta de spam. Por ejemplo, si el correo tiene un SCL menor que 4 entonces ponlo en la Bandeja de Entrada, si está entre 5 y 7 que vaya la carpeta de correo no deseado y si es superior a 7 entonces elimínalo.
Para conseguir afinar este número para cada correo en cada buzón de usuario y acertar, es muy importante tener presente la opinión de cada uno de las personas que lo recibe, por eso, cuando un correo que llega a la bandeja de entrada debería ser spam, es importante poder reportarlo y, lo más importante, hacerlo.
Windows Live Hotmail ha añadido, con las mejoras en SmartScreen, tecnología que ajusta ese SCL para cada usuario en función no solo del reporte que haga de ese correo, sino además, de las acciones que haga ese usuario en concreto con ese mensaje.
Supongamos un usuario que ha recibido durante 4 días correos electrónicos que ha eliminado sin ni tan siquiera abrir. Es evidente que en las características que el usuario ve, como son el título y el remitente, hay algo que directamente le hace a, ese usuario, reconocerlo como un correo no deseado y eliminarlo. Windows Live Hotmail subirá el SCL en los correos que tengan esas características. En un determinado momento en el tiempo, el correo pasará a la bandeja de correo electrónico no deseado.
Figura 2: Correo detectado como Spam por la tecnología Microsoft SmartScreen. Opción para cambiarlo a correo seguro. Por si el correo es peligroso, el contenido no se muestra.
Si de allí es rescatado por el usuario con la opción de marcar como correo deseado, entonces, automáticamente, se reducirá su SCL y el correo volverá la bandeja de entrada. Si no es rescatado, continuará subiendo su SCL hasta que ya directamente, todos los correos con esas características sean eliminados. Esta tecnología hace mucho más cómodo para un usuario que el buzón se adapte a sus necesidades.
Hay que recordar que Microsoft SmartScreen, además de haber añadido este comportamiento adaptativo al usuario, sigue manteniendo el análisis heurístico de detección de spam por análisis de la estructura del correo, que será muy importante en el cómputo del valor SCL.
Por supuesto, en cualquier momento el usuario puede usar las opciones de marcar un correo como Spam o como phishing que incidirán explícitamente en el SCL de forma negativa. Como se puede apreciar en la imagen, existe una combinación de teclas para hacerlo de forma más rápido.
Figura 3: Opciones de reporte como spam por medio de menú o combinación de teclas rápidas y reporte de un e-mail como phishing.
Uno de los principales ataques que puede llegar a sufrir un usuario de Windows Live Hotmail es el secuestro de su cuenta de correo para usos diversos, como por ejemplo, para el envío de spam.Es de alabar el esfuerzo que pone Microsoft en intentar que este tipo de ataques no sean exitosos agregando nuevas funcionalidades a nivel de seguridad a su servicio.En el articulo de hoy, el ultimo de la serie, repasaremos novedades para salvaguardar nuestra cuenta ante esas agresiones.
Equipo de Confianza
La última de las características que quiero comentar para proteger la cuenta de correo electrónico, es la posibilidad de marcar un equipo como Equipo de Confianza. Al añadir una computadora o un dispositivo como de confianza, significa que, en caso de que alguien robe la contraseña, siempre se podrá recuperar desde el equipo de confianza, sin necesidad de responder preguntas o recuperar por correo electrónico.
Figura 1: Establecer una ubicación de conexión como equipo de confianza
Figura 2: Opciones de restablecimiento de contraseña configuradas
Protección contra ataques de fuerza bruta
Por defecto, Windows Live, tiene un sistema de protección de cuenta que, si el número de intentos fallidos al tratar de recuperar el control de la cuenta por medio de respuesta a la pregunta secreta es muy alto, este sistema se bloqueara. Lo mismo sucede si un atacante intenta un ataque de fuerza bruta contra la cuenta, intentado conectarse al sistema mediante un ataque de diccionario – probando una lista de claves desde un fichero – o directamente un ataque de fuerza bruta – probando combinaciones de contraseñas generadas por un patrón. Cuando el número de intentos de conexión es muy alto, para evitar que el atacante tenga éxito, la cuenta de Windows Live quedará bloqueada, evitando que el ataque tenga éxito, aunque de con la contraseña.
Esta protección es el menor de los males, ya que se produce un bloqueo de la cuenta, pero así el atacante nunca obtiene acceso. El coste es una denegación de servicio para el usuario. Sin embargo, para no dejar al usuario sin servicio, en Windows Live, al contar con el equipo de confianza, el bloqueo será solo para intentos de conexión desde otros equipos que no sean el marcado como tal. De esta manera siempre se podrá acceder a todos los servicios de Windows Live, aun estando la cuenta bajo una ataque.
Conclusiones
El esfuerzo que ha hecho Microsoft en fortificar un sistema de correo electrónico “en la nube” que es mucho más que eso, con todos los servicios que ofrece Windows Live, es enorme. En esta serie de artículos he querido recoger una explicación al porqué del uso de todas estas tecnologías y a cómo funcionan, pero si quieres tener una cuenta segura, esto depende, en una gran medida, en el uso que tú le des.
Aquí te dejo, para que no te olvides, estos sencillos consejos de seguridad que siempre te ayudarán a estar un poco más protegido.
- Fortifica la configuración de tu cuenta: Revisa periódicamente la configuración de tu cuenta de Windows Live y comprueba que estás usando una contraseña compleja, cambiada periódicamente, cambia la pregunta secreta cada cierto tiempo, revisa que has configurado un sistema alternativo por móvil y añade un equipo de confianza que de verdad sea de confianza.
- Fortifica tu equipo: Instala un sistema antimalware que esté actualizado y con protección en tiempo real, escanea tu sistema periódicamente, mantén al día todo tu software actualizado – no solo el software de Windows -, no te conectes a Internet con usuarios administradores, no ejecutes programas de los que no conoces la procedencia y no insertes ningún dispositivo USB de almacenamiento que no sea de confianza.
- Fortifica tus hábitos y toma precauciones extra: Ten cuidado donde tecleas la contraseña de acceso, no la uses en equipos compartidos, configura accesos con códigos de un solo uso si tienes necesidad para ello, activa las conexiones cifradas con SSL y si vas a tener conversaciones que necesitan de privacidad utiliza algún software de cifrado.
Y por último, tu dirección de correo es personal, no la publiques en cualquier sitio para evitar caer en las bases de datos que se usan para distribuir malware y enviar spam.
Con esto finaliza esta serie de artículos dirigidos a mostrar que la seguridad si importa en Windows Live Hotmail, ya no hay excusas para dejar de crearnos una cuenta, y mucho menos para no subscribiros al canal RSS de Windows Técnico.
Si tu cuenta ha sido bloqueada por alguna razón, puedes tener en cuenta estos pasos.
Saludos
Fuente: Windows Técnico
