Anlisis forense de seguridad mediante el uso de herramientas
de escaneo en correos electrnicos de Gmail
Anlisis forense de seguridad mediante el uso de herramientas de escaneo en correos electrnicos de Gmail
Anlise forense de segurana mediante a utilizao de ferramentas
Gmail
Correspondencia: stiven.venturad@ug.edu.ec
Ciencias Tcnicas y Aplicadas
Artculo de Investigacin
* Recibido: 26 de julio de 2024 *Aceptado: 24 de agosto de 2024 * Publicado: 12 de septiembre de 2024
I. Universidad de Guayaquil, Guayaquil, Ecuador.
II. Universidad de Guayaquil, Guayaquil, Ecuador.
III. Universidad de Guayaquil, Guayaquil, Ecuador.
Resumen
Este articulo surge como producto final del trabajo de titulacin que tiene como tema Anlisis forense de seguridad mediante el uso de herramientas de escaneo en correos electrnicos de Gmail de comerciantes del sector colibr 1 en la parroquia Chongn, el objetivo de la investigacin es mitigar vulnerabilidades expuestas por un anlisis forense de seguridad aplicado a los correos electrnicos de comerciantes del sector de estudio. Para este caso, se ha empleado herramientas de escaneo especializadas y se aplicaron tcnicas de anlisis. Para su desarrollo, la metodologa implementada abarca diversas fases, las cuales van desde la recopilacin exhaustiva de datos, el anlisis detallado de los metadatos, hasta la evaluacin rigurosa de la autenticidad de los correos electrnicos para detectar posibles amenazas. Los resultados obtenidos permiten no solo identificar las principales vulnerabilidades existentes en la comunicacin digital de estos comerciantes, sino tambin proponer medidas de seguridad concretas y efectivas para mitigar dichos riesgos.
Palabras Clave: anlisis forense; mitigacin; vulnerabilidades; correos electrnicos.
Abstract
Este articulo surgical como producto final del trabajo de titulacin que tiene como tema Anlisis forense de seguridad mediante el uso de herramientas de escaneo en correos electrnicos de Gmail de comerciantes del sector colibr 1 en la parroquia Chongn, el objetivo de la investigacin es mitigar vulnerabilidades expuestas Para este caso, se ha empleado herramientas de escaneo especializadas y se aplicaron tcnicas de anlisis. desde la recopilacin exhaustiva de datos, el anlisis detallado de los metadatos, hasta la evaluacin rigurosa de la autenticidad de los correos electrnicos para detectar posibles amenazas. sino tambin proponer medidas de seguridad concretas y efectivas para mitigar dichos riesgos.
Keywords: anlisis forense; mitigacin; vulnerabilidades; correos electrnicos.
Resumo
Este artigo cirrgico como produto final do trabalho de titulao que tem como tema Anlise forense de segurana atravs do uso de ferramentas de varredura em correios eletrnicos do Gmail de comerciantes do setor colibr 1 na parquia Chongn, o objetivo da investigao mitigar vulnerabilidades expostas Para este caso, foram empregues ferramentas de scan especializado e aplicadas tcnicas de anlise desde a recolha exaustiva de dados, a anlise detalhada dos metadados, at avaliao rigorosa da autenticidade dos e-mails para detetar possveis ameaas tambm. mitigar riscos.
Palavras-chave: anlise forense; mitigao; de vulnerabilidades; de e-mails
Introduccin
El presente proyecto aborda la problemtica desde la aplicacin de un anlisis forense de seguridad a correos electrnicos de Gmail, al emplear este mtodo, se busca identificar el tipo de vulnerabilidades a las que se enfrenta la poblacin al llevar sus comunicaciones por este tipo de medios electrnicos. Siendo as, el problema es visto desde el punto de vista analtico con la recoleccin de la evidencia digital que sea necesaria, cumpliendo con cada fase de un anlisis forense.
En un mundo digitalizado, el correo electrnico sigue siendo de las principales vas de comunicacin tanto para usuarios individuales como para organizaciones, lo que lo convierte en un objetivo clave para diversas amenazas cibernticas. Segn un estudio de Verizon (2023), "el 94% del malware se entrega a travs de correos electrnicos, lo que subraya la necesidad crtica de identificar y mitigar estas amenazas para proteger tanto la informacin personal como la corporativa". El comprender y atender dichas amenazas permite a las organizaciones y usuarios implementar medidas de seguridad ms efectivas o reforzar las existentes, con el fin de reducir riesgos y mantener la integridad de sus datos.
El uso de tecnologas forense para la identificacin de vulnerabilidades en medios electrnicos es sin duda alguna un tema que cada da toma ms fuerza en un mundo digitalizado. A menudo se visualiza como gran parte de la poblacin sufre ataques que tienes como fin irrumpir la privacidad y capturar sus datos para posteriormente cubrir un objetivo dependiendo la motivacin del ciberdelincuente(Rochina Rochina, 2021).
El phishing es una forma de ciberdelincuencia que usa la ingeniera social como mtodo para propagarse y el engao tecnolgico con el fin de capturar los datos requeridos que usualmente suelen ser usuarios y contraseas de cuentas bancarias. Un ataque de ingeniera social surge de una motivacin que regularmente es la parte econmica, su funcionamiento se lleva a cabo mediante el uso de correos electrnicos falsos que pretenden ser de organizaciones comerciales de buena reputacin, con el objetivo de capturar la informacin personal de la vctima, como direcciones de correo electrnico y contraseas de sitios web no legtimos(Sustainability, 2023).
Para los comerciantes de la parroquia Chongn, lugar donde surge la problemtica de esta investigacin. Evidencia que, la creciente preocupacin por la vulnerabilidad de sus datos a travs de medios electrnicos como el correo, es una situacin que no pasa desapercibida. Por esa razn, se apunta a la identificacin del problema en base a el seguimiento de una serie de eventos que en los ltimos meses han tenido como objetivo irrumpir la seguridad de los medios electrnicos de los habitantes del sector que es sujeto de este estudio. La tendencia muestra que gran parte de los atacantes buscan explotar vulnerabilidades mediante tcnicas de ingeniera social, siendo el phishing uno de los ataques ms comunes para explotar vulnerabilidades mediante los correos electrnicos.
El problema se ubica en el sector colibr 1, en este sector posee un grupo de personas que se dedican al comercio, sus actividades van desde dueos de pequeas tiendas, hasta vendedores de ropa y propietarios de bazares con varios locales distribuidos a lo largo y ancho de la parroquia. La importancia de elegir esta parte de la poblacin como sujeto de estudio se justifica en base a la serie de inconvenientes que se atestigu en los ltimos meses en el sector y donde los comerciantes resaltaban como el objetivo principal de los ciberdelincuentes.
Adicionalmente, la evidente falta de conocimiento tecnolgico asociada al cuidado de la informacin que se comparte por medios electrnicos figura para este caso como un problema que no puede pasar a segundo plano. De modo que, es una situacin que no requiere de esfuerzos mayores para su correccin. Pero si puede ser la base de las soluciones que se vayan a exponer.
Metodologa
Para este proyecto de investigacin se eligi una metodologa mixta, esta eleccin se fundamenta en la necesidad de abordar la complejidad del problema desde mltiples perspectivas y recopilar datos tanto cuantitativos como cualitativos, haciendo uso de instrumentos de investigacin lo cual depender de la naturaleza de la informacin que se desea recopilar, todo esto con el objetivo de obtener una comprensin ms slida del tema de estudio.
Algunas de las caractersticas que se destacan con la eleccin de esta metodologa son:
- Complementariedad de enfoques: Al combinar mtodos cuantitativos y cualitativos, se aprovecha la complementariedad de ambos enfoques. Mientras que los mtodos cuantitativos proporcionan datos numricos objetivos sobre la frecuencia y la incidencia de ciertos aspectos como seria en este caso, el porcentaje de correos electrnicos con caractersticas sospechosas, los mtodos cualitativos permiten explorar en profundidad las percepciones, experiencias y contextos de los individuos involucrados, a lo que se podra destacar las percepciones de los usuarios sobre la seguridad de su correo electrnico.
- Validacin cruzada: Los hallazgos cuantitativos pueden ser relacionados con evidencia cualitativa, y viceversa, lo que aumenta el nivel de credibilidad y fiabilidad de los resultados. Para este caso se podra tener en cuenta que, si los datos cuantitativos indican un alto porcentaje de correos electrnicos sospechosos, esta tendencia puede ser confirmada mediante el anlisis obtenido a partir de las entrevistas cualitativas con los usuarios(Escudero Snchez, C. L. & Cortez Surez, L. A. , 2018).
- Flexibilidad y adaptabilidad: La utilizacin de una metodologa mixta brindar una mayor flexibilidad y adaptabilidad generando un mejor ajustarse a las necesidades y caractersticas especficas del problema que se est investigando. Esto permite utilizar diferentes estrategias de recopilacin y anlisis de datos segn sea necesario, lo que maximiza la eficacia y la relevancia de la investigacin en el contexto particular de la seguridad de los comerciantes en el sector colibr 1.
Enfoque cuantitativo
Para el desarrollo de la investigacin se utilizaron tcnicas cuantitativas con el fin de representar parte del problema y su respectiva solucin mediante valores numricos y asi generar una validacin cruzada con los resultados cualitativos. De este modo, se pudo evidenciar los porcentajes de vulnerabilidad al aplicar herramientas de anlisis de encabezados a los correos electrnicos.
Enfoque cualitativo
En este apartado se recurri al uso de encuestas con preguntas abiertas para conocer el nivel de conocimiento tecnolgico. Adems, se realiz entrevistas a los participantes del anlisis, logrando asi la obtencin de resultados en base a la experiencia del sujeto de estudio.
Anlisis forense de correos electrnicos
Se realiza el anlisis forense utilizando las herramientas mencionadas previamente. Este anlisis incluye la identificacin de posibles amenazas, la deteccin de actividades sospechosas en los correos electrnicos y mitigacin de vulnerabilidades.
A continuacin, se presenta el proceso de anlisis forense con el desarrollo de todas sus fases de manera secuencial.
Fase 1: Identificacin
En esta fase se identific que para este anlisis forense lo recomendable sera trabajar con la copia de la mensajera del correo electrnico de los sujetos a investigarse. Siendo as, y con el respectivo permiso del propietario de la cuenta tal cual se adjunta el formato en los anexos, se proceder a generar un archivo de tipo MBOX, dicho proceso se detalla a continuacin.
- Se accede a la cuenta para proceder a generar la copia de los mensajes y archivos adjuntos de Gmail, donde se generar un archivo MBOX, como se evidencia en la figura 1.
Figura 1. Generacin de documento MBOX con la copia de la mensajera
- Una vez generada la copia, se procede con la descarga, como se muestra en la figura 2.
Figura 1. Descarga del archivo generado
Nota: Para medir el nivel de seguridad en los correos analizados se define como parmetro que los protocolos de seguridad deben dar como resultado un porcentaje superior al 80% para concluir que no existe una vulnerabilidad significativa dentro del proceso anlisis de encabezados.
Fase 2: Preservacin
En esta fase se busca mantener integra la informacin recopilada y por esa razn se almacena en carpetas con su respectiva copia de seguridad; donde el acceso sea gestionado nicamente por la parte que lleva a cabo el proceso de anlisis. El cumplir con estos pasos asegura la disponibilidad de la informacin, como se muestra en la figura 3.
Figura 2. Guardado y cifrado de informacin
Fase 3: Extraccin
En la fase de extraccin se hace uso de herramientas especializadas para obtener resultados en base a un anlisis forense de seguridad, a continuacin, el detalle de las herramientas empleadas.
- En primer lugar, se har uso de la herramienta Aryson Mboxviewer, dicha herramienta ejecuta archivos Mbox y analiza la mensajera en varios formatos, de este modo se muestra el contenido de los mensajes de una forma ms dinmica, como se visualiza en la figura 4.
Figura 3. Extraccin de informacin mediante la herramienta Aryson
- Aqu se muestra la herramienta Systools MBOX Viewer, esta alternativa es similar a la anterior, de modo que al ingresar se debe seleccionar el tipo de aplicacin, donde se va a seleccionar los archivos de tipo MBOX, como se muestra a continuacin en la figura 5.
Figura 4. Extraccin de informacin mediante la herramienta Systools
- Una vez seleccionado el archivo que se ha generado de una copia de seguridad de la mensajera, se proceder a cargar el archivo en formato MBOX se cargan los mensajes y archivos que contenga la copia. Como se muestra en la figura 6.
Figura 5. Informacin cargada al sistema
Fase 4: Anlisis
En esta fase se procede al anlisis de encabezados haciendo uso de las herramientas Email Header Analyzer y message Header. El objetivo de esta parte de los correos tiene como fundamento los resultados que se obtendr en base a los protocolos de seguridad que intervienen al momento de analizar encabezados.
Para empezar con el anlisis hay que tener en cuenta los siguientes protocolos que precisamente fueron diseados como sistemas de proteccin:
- SPF: Se utiliza para verificar el remitente. Es decir, el sistema reenviar un mensaje solo despus de que se haya identificado la identidad del remitente. Esta comprobacin se efecta del lado de quien recibe el mensaje. Por esta razn, se destaca la importancia de configurar correctamente el protocolo(Lpez Snchez, 2019).
Los cdigos que se usan para identificar el estado del mensaje son:
- Pass. La fuente es vlida.
- Fail. La fuente no es vlida.
- Error. Se produjo un error de comprobacin.
- DKIM: Realiza una comprobacin criptogrfica con el objetivo de verificar que el mensaje fue enviado por una parte autorizada.
- DMARC: Cuando un mensaje no cumpla con las polticas de verificacin para comprobar si un correo es el legtimo o no, este protocolo se encarga de definir como deber actuar el servidor de correo receptor (DMARC, s. f.).
Luego de haber explicado el funcionamiento de los protocolos se exponen los resultados obtenidos en el anlisis de cabeceras:
A continuacin, se verifica que los protocolos SPF, DKIM y DMARC funcionan correctamente, se procede con seleccin de encabezados para su procesamiento mediante la herramienta Message Header, como se muestra en la figura 7.
Figura 6. Protocolos de seguridad en el anlisis de encabezados
Por otra parte, se realizar el mismo procedimiento del anlisis de encabezados con la herramienta Email Header Analyzer. Esta herramienta a diferencia de la anterior ofrece un anlisis ms detallado de cada parte analizada del encabezado y el funcionamiento de cada protocolo se evidencia en cada paso con su respectivo indicador de cumplimiento o no, de las polticas de seguridad de seguridad, como se muestra en la figura 8.
Figura 7. Resultados con la herramienta Email Analyzer Header
Con la correcta configuracin de los protocolos SPF y DKIM aumenta el porcentaje de eficiencia del anlisis y por ende los resultados indicarn con mayor precisin si existe alguna amenaza. De este modo, se puede identificar la autenticidad de cada correo analizado, como se evidencia en la figura 9.
Figura 8. Anlisis segn protocolos de seguridad
Fase 5: Documentacin
En esta fase se entrega el informe con los resultados y las conclusiones obtenidas del anlisis forense de seguridad a los correos electrnicos.
Resultados y discusin
Los resultados obtenidos del anlisis forense se identific una tendencia y esta se divide en dos partes, por un lado, los correos legtimos y por otro los intentos de suplantacin.
- Correo Legtimo: La mayora de los correos electrnicos analizados eran legtimos y procedan de fuentes autorizadas.
- Intentos de Suplantacin: Se detectaron algunos intentos de suplantacin de identidad en los correos electrnicos y aunque era evidente la seal de peligro, muchas personas desconocen cmo pueden facilitar sus datos en cuestin de segundos a ciberdelincuentes con el simple hecho de dar clic a un enlace.
Una vez concluido el proceso de anlisis forense se procede a exponer los hallazgos encontrados al finalizar, como se visualiza en la tabla 1
Tabla 1. Resultados de anlisis forense
Correo Herramientas Amenazas Evidencias usadas detectadas encontradas |
|||
|
|
|
|
alexandravaldez895@gmail.com |
Systools Mbox Viewer -Email analyzer Header |
Ataques de phishing, mediante tcnicas de ingeniera social(typosquatting) |
Archivos maliciosos adjuntos a correos |
johannareyes1116@gmail.com |
Aryson Mbox Viewer-Message Header |
Ninguna |
Correos desconocidos a spam |
eramos.ineval@gmail.com |
Systools Mbox Viewer-Message Header |
Ninguna |
Correos desconocidos a spam |
espinozajamileth24@gmail.com |
Aryson Mbox Viewer-Email analyzer Header |
Ninguna |
Correos desconocidos a spam |
lindaoyomaira25@gmail.com |
Systools Mbox Viewer-Message Header |
Spoffing |
Enlaces e imgenes falsas |
vergaralester400@gmail.com |
Systools Mbox Viewer-Email analyzer Header |
Ninguna |
Ninguna |
elena.ramirez.tamayo@gmail.com |
Systools Mbox Viewer-Email analyzer Header |
Ninguna |
Ninguna |
johannadiazalcivar@gmail.com |
Systools Mbox Viewer-Email analyzer Header |
Spoffing (typosquatting) |
Enlaces de pginas web clonadas |
luca.marvin1999@gmail.com |
Aryson Mbox Viewer-Message Header |
Ninguna |
Correos desconocidos a spam |
karolinaaylin.1993@gmail.com |
Aryson Mbox Viewer-Message Header |
Ataque de phishing |
Archivos maliciosos |
emelivallejo1999@gmail.com |
Aryson Mbox Viewer-Message Header |
Ninguna |
Correos desconocidos a spam |
La identificacin y mitigacin de vulnerabilidades parte de un correcto anlisis de encabezados, esto a su vez va acompaado de la revisin de funcionamiento de protocolos de seguridad en correos electrnicos los cuales han sido mencionados previamente en parte de este trabajo. En la tabla 2 se muestra una breve descripcin de cada uno acompaado de los resultados obtenidos.
Tabla 2. Anlisis de encabezados de correos electrnicos
Protocolo |
Descripcin |
Resultados |
SPF (Sender Policy Framework) |
Verifica si un correo fue enviado desde una fuente autorizada. |
La mayora de los correos electrnicos fueron enviados desde fuentes autorizadas. |
DKIM (DomainKeys Identified Mail) |
Permite verificar que un correo fue enviado y autorizado por el dueo del dominio del correo. |
Los correos electrnicos analizados pasaron la verificacin de DKIM, indicando que eran autnticos. |
DMARC (Domain-based Message Authentication, Reporting, and Conformance) |
Protege contra el uso no autorizado de un dominio de correo electrnico. |
Algunos correos electrnicos no cumplieron con las polticas de DMARC, sugiriendo posibles intentos de suplantacin de identidad. |
Conclusiones:
- Se logr gestionar exitosamente el acceso a la informacin de los participantes del anlisis, el establecer un buen nivel de confianza ayud a que el proceso se lleve a cabo con un constante aporte mutuo.
- Se analiz los metadatos y toda la informacin que se pudo capturar de la evidencia recopilada, el escoger correctamente las herramientas de anlisis hizo que esta fase se lleve a cabo sin ningn contratiempo.
Se identific correctamente cuales seran las herramientas necesarias para el desarrollo de la parte prctica y consecuentemente se pudo evidenciar que los resultados obtenidos eran los previstos antes de empezar con el proyecto.
Referencias
DMARC. (s. f.). POWERDMARC. Obtenido de https://powerdmarc.com/es/what-is-dmarc/
Escudero Snchez, C. L., & Cortez Surez, L. A. . (2018). Tcnicas y mtodos cualitativos para la investigacin cientfica. Obtenido de http://repositorio.utmachala.edu.ec/handle/48000/12501
Lpez Snchez, J. (2019). Mtodos y tcnicas de deteccin temprana de casos de phishing.
Obtenido de http://hdl.handle.net/10609/89225
Rochina Rochina, C. (2021). Diseo y evaluacin de una metodologa para reducir los ciberataques originados a travs de correo electrnico mediante la aplicacin de filtros y reglas sobre un Gateway. Obtenido de http://dspace.espoch.edu.ec/handle/123456789/14677
Sustainability. (2023). Email Security Issues, Tools, and Techniques Used in Investigation.
Obtenido de https://doi.org/10.3390/su151310612
[6] Verizon. (2023). Data Breach Investigations Report 2023. Obtenido de
https://www.verizon.com/business/resources/reports/dbir/?msockid=29a22d7782076ad624ad3f1
86076c0c
2024 por los autores. Este artculo es de acceso abierto y distribuido segn los trminos y condiciones de la licencia Creative Commons Atribucin-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)
(https://creativecommons.org/licenses/by-nc-sa/4.0/).
Enlaces de Referencia
- Por el momento, no existen enlaces de referencia
Polo del Conocimiento
Revista Científico-Académica Multidisciplinaria
ISSN: 2550-682X
Casa Editora del Polo
Manta - Ecuador
Dirección: Ciudadela El Palmar, II Etapa, Manta - Manabí - Ecuador.
Código Postal: 130801
Teléfonos: 056051775/0991871420
Email: polodelconocimientorevista@gmail.com / director@polodelconocimiento.com
URL: https://www.polodelconocimiento.com/