Ciberseguridad para correos electrónicos con IA

| Última modificación: 28 de octubre de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

La ciberseguridad para correos electrónicos es una especialidad que cada día tiene más avances, identificar cualquier amenaza en un email es un tema que es fundamental para proteger a cualquier empresa, por esta razón, hace unas semanas celebramos un webinar donde hemos tenido como invitado a Adrián Rodríguez, analista de malware​, quien nos ha hablado sobre Inteligencia Artificial para la prevención de ciberataques por correo electrónico.

Amenazas a la ciberseguridad para correos electrónicos

El problema de las soluciones convencionales, es decir, los antivirus, radica en que cuando llega un ​malware a las instancias, este lo compara a ver si lo tiene en la base de datos y si no existe, lo compara con una serie de firmas.

En caso de no encontrar ninguna que se le parezca, le aplica una heurística: primero hay que comprobar si se parecen los objetos que tiene el ​malware a otros ya conocidos para intentar averiguar qué tipo de ​malware es; si no lo consigue, abre el ​malware y busca pistas. Actualmente, es difícil que un antivirus pueda, en minutos, descubrir qué tipo de ​malware​ es.

Por otro lado, la Inteligencia Artificial puede predecir qué tipo de ​malware​ es en segundos. Existen cuatro tipos de amenazas:

  • malware:​ infección de tres etapas
  • phishing: se hacen pasar por una persona, empresa o servicio de confianza y manipulan al receptor
  • spam: ​correo basura
  • scam:​ estafa

Herramientas

Para analizar y catalogar correos electrónicos con inteligencia artificial es necesario contar con Python, librería eml_parser, librería scikit-learn y editor de código.

Parseo de un EML

EML es el formato de correo preferido por programas como Microsoft Outlook y Mozilla Thunderbird. Lo primero a hacer en este proceso de catalogación de correos es analizar por completo este EML ¿Qué estructura tiene un EML y qué información nos interesa?

  • Cabecera: contiene información sobre el origen real del correo, así como datos acerca de la seguridad de los servidores de correo, como datos importantes del mismo.
  • Cuerpo: incluye el contenido del correo y, en caso de ser un correo reenviado, la información del remitente.
  • Adjunto: ficheros adjuntos al correo.

Información de las cabeceras

La cabecera contiene información que ayuda a los servidores de correo a identificar diferentes aspectos de cada mensaje, tales como:

  • Parámetros de seguridad de los servidores de correo: SPF, DKIM, DMARC.
  • Dominios de los servidores donde salta el correo.
  • IPs de los servidores donde salta el correo.
  • IP del servidor origen.
  • Dominio del servidor origen.
  • Remitente.
  • Dirección de respuesta.

Por otra parte, existen tres protocolos de autenticación de los servidores de correos para enviar emails que sirven para detectar suplantación de identidad y evitar ataques. Su cometido es comprobar la autenticidad y veracidad de los correos entrantes. Estos protocolos son:

  • SPF (​Sender Policy Framework​): se encarga de comprobar los servidores autorizados para enviar correos electrónicos a nombre de un dominio. Para ello, el servidor receptor comprobará en el DNS del dominio la lista de equipos permitidos para dicho fin. Valores posibles: ​pass, fail, neutral, none​.
  • DKIM (​Domain Keys Identified Mail​): se encarga de firmar el mensaje para autenticar el emisor, haciendo uso de un par de claves pública-privada. A parte de ello, pretende garantizar la identidad del mensaje, para que no sea modificado por ninguna entidad intermedia. Valores posibles: ​pass, fail, neutral, none​.
  • DMARC (​Domain-based Message Authentication, Reporting & Conformance​): se encarga de indicar al servidor destinatario qué hacer con el correo si las valoraciones dadas por SPF y DKIM han determinado que el mensaje es una suplantación de identidad. Por lo tanto, para que un mensaje sea validado por DMARC, debe pasar la autenticación SPF y/o la autenticación DKIM. En cambio, si ambas fallan, el mensaje será rechazado. Valores posibles:​ pass, fail, neutral, none​.

Extracción de información para aplicar la IA

Ya que tienes claro los conceptos que componen un correo electrónico, es momento de extraer la información para aplicar la Inteligencia Artificial. Para esto se deben analizar los datos y después crear un vector, en este caso decimal.

Para que puedas seguir el paso a paso de este ejercicio, aquí te dejamos la explicación de Adrián en nuestro webinar:

La Inteligencia Artificial enfocada en la ciberseguridad es el mejor escudo para proteger a cualquier empresa de un posible ciberataque. En nuestros Ciberseguridad Full Stack Bootcamp aprenderás todas las metodologías y herramientas para convertirte en un experto de la IA para Ciberseguridad en tan solo seis meses. Conoce el programa en detalle descargando aquí el temario.

 

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos