La ciberseguridad para correos electrónicos es una especialidad que cada día tiene más avances, identificar cualquier amenaza en un email es un tema que es fundamental para proteger a cualquier empresa, por esta razón, hace unas semanas celebramos un webinar donde hemos tenido como invitado a Adrián Rodríguez, analista de malware, quien nos ha hablado sobre Inteligencia Artificial para la prevención de ciberataques por correo electrónico.
Amenazas a la ciberseguridad para correos electrónicos
El problema de las soluciones convencionales, es decir, los antivirus, radica en que cuando llega un malware a las instancias, este lo compara a ver si lo tiene en la base de datos y si no existe, lo compara con una serie de firmas.
En caso de no encontrar ninguna que se le parezca, le aplica una heurística: primero hay que comprobar si se parecen los objetos que tiene el malware a otros ya conocidos para intentar averiguar qué tipo de malware es; si no lo consigue, abre el malware y busca pistas. Actualmente, es difícil que un antivirus pueda, en minutos, descubrir qué tipo de malware es.
Por otro lado, la Inteligencia Artificial puede predecir qué tipo de malware es en segundos. Existen cuatro tipos de amenazas:
- malware: infección de tres etapas
- phishing: se hacen pasar por una persona, empresa o servicio de confianza y manipulan al receptor
- spam: correo basura
- scam: estafa
Herramientas
Para analizar y catalogar correos electrónicos con inteligencia artificial es necesario contar con Python, librería eml_parser, librería scikit-learn y editor de código.
Parseo de un EML
EML es el formato de correo preferido por programas como Microsoft Outlook y Mozilla Thunderbird. Lo primero a hacer en este proceso de catalogación de correos es analizar por completo este EML ¿Qué estructura tiene un EML y qué información nos interesa?
- Cabecera: contiene información sobre el origen real del correo, así como datos acerca de la seguridad de los servidores de correo, como datos importantes del mismo.
- Cuerpo: incluye el contenido del correo y, en caso de ser un correo reenviado, la información del remitente.
- Adjunto: ficheros adjuntos al correo.
Información de las cabeceras
La cabecera contiene información que ayuda a los servidores de correo a identificar diferentes aspectos de cada mensaje, tales como:
- Parámetros de seguridad de los servidores de correo: SPF, DKIM, DMARC.
- Dominios de los servidores donde salta el correo.
- IPs de los servidores donde salta el correo.
- IP del servidor origen.
- Dominio del servidor origen.
- Remitente.
- Dirección de respuesta.
Por otra parte, existen tres protocolos de autenticación de los servidores de correos para enviar emails que sirven para detectar suplantación de identidad y evitar ataques. Su cometido es comprobar la autenticidad y veracidad de los correos entrantes. Estos protocolos son:
- SPF (Sender Policy Framework): se encarga de comprobar los servidores autorizados para enviar correos electrónicos a nombre de un dominio. Para ello, el servidor receptor comprobará en el DNS del dominio la lista de equipos permitidos para dicho fin. Valores posibles: pass, fail, neutral, none.
- DKIM (Domain Keys Identified Mail): se encarga de firmar el mensaje para autenticar el emisor, haciendo uso de un par de claves pública-privada. A parte de ello, pretende garantizar la identidad del mensaje, para que no sea modificado por ninguna entidad intermedia. Valores posibles: pass, fail, neutral, none.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): se encarga de indicar al servidor destinatario qué hacer con el correo si las valoraciones dadas por SPF y DKIM han determinado que el mensaje es una suplantación de identidad. Por lo tanto, para que un mensaje sea validado por DMARC, debe pasar la autenticación SPF y/o la autenticación DKIM. En cambio, si ambas fallan, el mensaje será rechazado. Valores posibles: pass, fail, neutral, none.
Extracción de información para aplicar la IA
Ya que tienes claro los conceptos que componen un correo electrónico, es momento de extraer la información para aplicar la Inteligencia Artificial. Para esto se deben analizar los datos y después crear un vector, en este caso decimal.
Para que puedas seguir el paso a paso de este ejercicio, aquí te dejamos la explicación de Adrián en nuestro webinar:
La Inteligencia Artificial enfocada en la ciberseguridad es el mejor escudo para proteger a cualquier empresa de un posible ciberataque. En nuestros Ciberseguridad Full Stack Bootcamp aprenderás todas las metodologías y herramientas para convertirte en un experto de la IA para Ciberseguridad en tan solo seis meses. Conoce el programa en detalle descargando aquí el temario.