Inicio / Protege tu empresa / Blog / Historias reales: envié correos spam sin saberlo y me han bloqueado

Historias reales: envié correos spam sin saberlo y me han bloqueado

Publicado el 07/05/2019, por INCIBE
Imagen de acompañamiento.

Valentina es la propietaria de una pequeña empresa que se dedica a la apicultura ecológica. Su empresa posee una página web con descripciones de sus productos y su metodología de trabajo aunque no es su principal forma de dar a conocer sus productos ya que apenas la actualiza 2 o 3 veces al año. Las herramientas que más utiliza Valentina en su día a día son:

  • las redes sociales para promocionar sus productos;
  • el correo electrónico con el que recibe pedidos de clientes, envía facturas, contacta con diferentes proveedores, etc.

Valentina es una mujer con cierta habilidad para las tecnologías y tanto el servidor web como el de correo electrónico los instaló ella misma siguiendo varios manuales que encontró en Internet. Decidió que esta era la mejor forma, ya que no quería depender de terceros para este tipo de tareas.

¿Qué sucede con el correo electrónico?

Como es habitual en su mecánica de trabajo, todas las mañanas revisa las redes sociales. También accede a su buzón de correo electrónico para comprobar si ha recibido algún nuevo pedido, factura o cualquier otro mensaje.

Un día, Valentina tenía dos nuevos correos de clientes habituales solicitando varios productos y su precio. Elaboró las facturas y se las envió a sus clientes para que confirmaran el pedido. Pasados dos días, no había recibido respuesta de ninguno de ellos, por lo que Valentina envió un mensaje privado por redes sociales preguntando si había algún problema con el pedido. Ambos clientes no tardaron en responderla diciendo que no habían recibido ninguna factura por correo electrónico, algo que a ella le extrañó mucho ya que estaba segura de habérselas enviado. Suponía que algo pasaba con su servidor de correo. Les informó de que les enviaría la factura desde una cuenta de correo personal para que su problema con el servidor de correo no les afectara.

Nuestra protagonista decidió enviar un correo desde la cuenta de correo corporativa a su cuenta personal y comprobó que efectivamente no recibía ningún mensaje, ni siquiera llegaba a la bandeja de spam. También hizo la comprobación a la inversa, y observó que podía recibir correos en el buzón de la empresa.

Se disponía a buscar por Internet para buscar información sobre qué podía estar sucediendo cuando entró un nuevo correo en la cuenta empresarial. Procedía del Centro Némesys y la informaba de que desde su dirección IP se había establecido una conexión con una red botnet. También indicaba que se habían enviado correos electrónicos de forma masiva a otros usuarios desde su servidor de correo por lo que tuvieron que bloquear el sistema que habitualmente se utiliza para enviarlos, lo que inhabilita el envío de correos.

Un puerto es el sistema utilizado para enviar y recibir información entre dos máquinas. Para enviar correos se suele utilizar el protocolo simple de correo o por sus siglas en inglés SMTP.

¿Cómo solucionar la situación?

¿Por dónde empezar? Línea de Ayuda en Ciberseguridad

Valentina no sabía por dónde empezar para remediar la situación y que todo volviera a la normalidad. Sabía que el Instituto Nacional de Ciberseguridad (INCIBE) dispone de una Línea de Ayuda en Ciberseguridad donde orientan de forma gratuita a empresarios, ciudadanos y menores, padres y educadores. Decidió llamar en busca de asesoramiento y tras varios minutos de conversación llegó a varias conclusiones sobre su problema:

  • alguno de sus dispositivos se había convertido en un zombi y formaba parte de una botnet;
  • la botnet había estado enviando correos electrónicos de forma masiva o spam y para ello había utilizado su servidor de correo electrónico;
  • la botnet además podía realizar otras acciones maliciosas, como robar información privada o lanzar ataques de denegación de servicio distribuido o DDoS por sus siglas en inglés Distributed Denial of Service;
  • debido a que se había enviado gran cantidad de spam desde su buzón, era muy probable que su dirección IP o su dominio se hubiera incluido en una lista negra de correo electrónico y por este motivo ya no podía enviar mensajes;
  • su reputación podría verse afectada ya que los correos de spam pueden contener malware, campañas de phishing o cualquier otro fraude. Además, podría estar afectando de forma negativa a su cartera de clientes.

Desde la Línea de Ayuda también le indicaron los pasos a seguir para solucionar su incidente y reducir el riesgo de que volviera a suceder.

Identificar el dispositivo infectado

El primer paso es identificar el dispositivo infectado que puede ser tanto el servidor de correo como cualquier dispositivo utilizado para gestionarlo. Ya que Valentina solo utilizaba un ordenador para llevar a cabo las tareas de la empresa, la búsqueda era bastante sencilla. Analizó ambos dispositivos con una solución antimalware, dando como resultado negativo en el ordenador pero positivo en el servidor.

Determinar la forma de infección

Una vez el malware ha sido eliminado hay que determinar cómo se ha producido la infección. Descartado el ordenador y su infección por cualquier clase de malware, como por ejemplo un troyano, hay que hacerse dos preguntas sobre el servidor de correo:

  • ¿está configurado correctamente?
  • ¿está actualizado a la última versión disponible?

En cuanto a la configuración, Valentina no sabía si era la más adecuada, ella solamente sabía que funcionaba por lo que asumió que era la correcta. Respecto a la otra cuestión, nunca lo había actualizado por lo que era muy probable que estuviera muy desactualizado.

Para esta tarea, contrató a un técnico especializado. El técnico identificó varios errores en la configuración que podían hacer que el servidor fuera vulnerable.

Contactar con el proveedor de Internet

Una vez se configuró correctamente el servidor y se actualizó a su última versión, llegó el momento de contactar con su proveedor de Internet e informarle de que el incidente ya se había solucionado y así pedir que le volvieran a abrir el puerto cerrado. De esta forma su correo volvería a funcionar correctamente.

Salir de las listas negras de correo electrónico

Otro inconveniente de formar parte de una botnet y enviar spam es que es muy probable que seas incluido en una lista negra de correo electrónico o email blacklist. Este tipo de servicios crean bases de datos con direcciones IP o dominios web asociados a campañas de envío de correos electrónicos masivos o spam.

Luego estas bases de datos son utilizadas para comprobar la legitimidad de los mensajes, en caso de que figure en alguna blacklist es muy probable que el correo vaya al buzón de spam o directamente sea rechazado.

Existen multitud de servicios que disponen de un comprobador que permite verificar si nuestra dirección IP o dominio ha sido marcado como spammer:

Para comprobar si se forma parte de una de estas blacklists únicamente hay que conocer la dirección IP pública donde se encuentra el servidor de correo. Para saber cuál es la dirección IP pública hay que utilizar la misma conexión a Internet que la del servidor y utilizar alguna de las muchas páginas web existentes en Internet que la indican.

Una vez se conoce esta dirección, se introduce en el formulario de comprobación de alguna de las herramientas especificadas anteriormente. En el caso de Valentina había sido incluida en multitud de listas negras, como muestra la imagen, por lo que la tarea no sería simple ni rápida.

Spam database. Listado con múltiples positivos.

Cada servicio blacklist sigue su propia política por lo que Valentina tuvo que seguir el proceso de cada uno de ellos. Algunos de ellos disponen de un método de autoeliminación para salir de la lista negra, aunque advierten que en caso de volver a entrar, salir de nuevo será mucho más complejo. Otros procesos se pueden dilatar más en el tiempo, en función de la cantidad de correos basura enviados.

Cómo evitar que vuelva a ser una spammer

Valentina ya había terminado de seguir todos los pasos para solucionar su incidente de seguridad. Tardó cerca de dos semanas en salir de todas las listas negras y recuperar su actividad normal.

Desde la Línea de Ayuda en Ciberseguridad le dieron una serie de recomendaciones que evitarían en la gran mayoría de los casos el volver a formar parte de una botnet:

  • mantener todos los sistemas actualizados, tanto el ordenador como el servidor de correo y web;
  • implantar sistemas de monitorización, que ante una actividad anormal en alguno de los servidores creen una alerta;
  • implantar elementos de seguridad perimetral como IDS, IPS o UTM;
  • tener precaución a la hora de abrir archivos adjuntos en correos electrónicos o mensajes de redes sociales, en caso de tratarse de archivos ejecutables como .exe, .js o .vbs no abrirlos nunca. Aunque en este caso la infección se debió a una vulnerabilidad, puede darse el caso de que la infección tenga su origen en archivos ejecutados por el propio usuario y que contengan malware;
  • utilizar software legítimo y descargado siempre de la fuente original;
  • utilizar contraseñas robustas;
  • evitar que se conecten dispositivos no autorizados, incluso a la red wifi, ya que pueden estar infectados con malware que afecte negativamente a la empresa;
  • instalar en todos los equipos un antivirus, incluyendo los servidores.

Valentina había sufrido un grave incidente que puso a su empresa en jaque pero gracias a Línea de Ayuda en Ciberseguridad pudo solucionarlo. También aprendió que la mejor forma de no ser víctima de un ciberdelincuente es la prevención por lo que no ha vuelto a descuidar la seguridad de sus sistemas. ¡Aprende de Valentina, no te conviertas en spammer!