����������������������������������������������������������������������������������

 

 

An�lisis forense de seguridad mediante el uso de herramientas

de escaneo en correos electr�nicos de Gmail

 

An�lisis forense de seguridad mediante el uso de herramientas de escaneo en correos electr�nicos de Gmail

 

An�lise forense de seguran�a mediante a utiliza��o de ferramentas

Gmail

 

 

 

 

 

 

 

 

 

 

 

Correspondencia: stiven.venturad@ug.edu.ec

Ciencias T�cnicas y Aplicadas

Art�culo de Investigaci�n

 

* Recibido: 26 de julio de 2024 *Aceptado: 24 de agosto de 2024 * Publicado: �12 de septiembre de 2024

 

       I.          Universidad de Guayaquil, Guayaquil, Ecuador.

     II.          Universidad de Guayaquil, Guayaquil, Ecuador.

   III.          Universidad de Guayaquil, Guayaquil, Ecuador.

 

Resumen

Este articulo surge como producto final del trabajo de titulaci�n que tiene como tema An�lisis forense de seguridad mediante el uso de herramientas de escaneo en correos electr�nicos de Gmail de comerciantes del sector colibr� 1 en la parroquia Chong�n, el objetivo de la investigaci�n es mitigar vulnerabilidades expuestas por un an�lisis forense de seguridad aplicado a los correos electr�nicos de comerciantes del sector de estudio. Para este caso, se ha empleado herramientas de escaneo especializadas y se aplicaron t�cnicas de an�lisis. Para su desarrollo, la metodolog�a implementada abarca diversas fases, las cuales van desde la recopilaci�n exhaustiva de datos, el an�lisis detallado de los metadatos, hasta la evaluaci�n rigurosa de la autenticidad de los correos electr�nicos para detectar posibles amenazas. Los resultados obtenidos permiten no solo identificar las principales vulnerabilidades existentes en la comunicaci�n digital de estos comerciantes, sino tambi�n proponer medidas de seguridad concretas y efectivas para mitigar dichos riesgos.

Palabras Clave: an�lisis forense; mitigaci�n; vulnerabilidades; correos electr�nicos.

 

Abstract

Este articulo surgical como producto final del trabajo de titulaci�n que tiene como tema An�lisis forense de seguridad mediante el uso de herramientas de escaneo en correos electr�nicos de Gmail de comerciantes del sector colibr� 1 en la parroquia Chong�n, el objetivo de la investigaci�n es mitigar vulnerabilidades expuestas Para este caso, se ha empleado herramientas de escaneo especializadas y se aplicaron t�cnicas de an�lisis. desde la recopilaci�n exhaustiva de datos, el an�lisis detallado de los metadatos, hasta la evaluaci�n rigurosa de la autenticidad de los correos electr�nicos para detectar posibles amenazas. sino tambi�n proponer medidas de seguridad concretas y efectivas para mitigar dichos riesgos.

Keywords: an�lisis forense; mitigaci�n; vulnerabilidades; correos electr�nicos.

 

Resumo

Este artigo cir�rgico como produto final do trabalho de titula��o que tem como tema An�lise forense de seguran�a atrav�s do uso de ferramentas de varredura em correios eletr�nicos do Gmail de comerciantes do setor colibr� 1 na par�quia Chong�n, o objetivo da investiga��o � mitigar vulnerabilidades expostas Para este caso, foram empregues ferramentas de scan especializado e aplicadas t�cnicas de an�lise desde a recolha exaustiva de dados, a an�lise detalhada dos metadados, at� � avalia��o rigorosa da autenticidade dos e-mails para detetar poss�veis amea�as tamb�m. mitigar riscos.

Palavras-chave: an�lise forense; mitiga��o; de vulnerabilidades; de e-mails

 

Introducci�n

El presente proyecto aborda la problem�tica desde la aplicaci�n de un an�lisis forense de seguridad a correos electr�nicos de Gmail, al emplear este m�todo, se busca identificar el tipo de vulnerabilidades a las que se enfrenta la poblaci�n al llevar sus comunicaciones por este tipo de medios electr�nicos. Siendo as�, el problema es visto desde el punto de vista anal�tico con la recolecci�n de la evidencia digital que sea necesaria, cumpliendo con cada fase de un an�lisis forense.

En un mundo digitalizado, el correo electr�nico sigue siendo de las principales v�as de comunicaci�n tanto para usuarios individuales como para organizaciones, lo que lo convierte en un objetivo clave para diversas amenazas cibern�ticas. Seg�n un estudio de Verizon (2023), "el 94% del malware se entrega a trav�s de correos electr�nicos, lo que subraya la necesidad cr�tica de identificar y mitigar estas amenazas para proteger tanto la informaci�n personal como la corporativa". El comprender y atender dichas amenazas permite a las organizaciones y usuarios implementar medidas de seguridad m�s efectivas o reforzar las existentes, con el fin de reducir riesgos y mantener la integridad de sus datos.

El uso de tecnolog�as forense para la identificaci�n de vulnerabilidades en medios electr�nicos es sin duda alguna un tema que cada d�a toma m�s fuerza en un mundo digitalizado. A menudo se visualiza como gran parte de la poblaci�n sufre ataques que tienes como fin irrumpir la privacidad y capturar sus datos para posteriormente cubrir un objetivo dependiendo la motivaci�n del ciberdelincuente�(Rochina Rochina, 2021).

El phishing es una forma de ciberdelincuencia que usa la ingenier�a social como m�todo para propagarse y el enga�o tecnol�gico con el fin de capturar los datos requeridos que usualmente suelen ser usuarios y contrase�as de cuentas bancarias. Un ataque de ingenier�a social surge de una motivaci�n que regularmente es la parte econ�mica, su funcionamiento se lleva a cabo mediante el uso de correos electr�nicos falsos que pretenden ser de organizaciones comerciales de buena reputaci�n, con el objetivo de capturar la informaci�n personal de la v�ctima, como direcciones de correo electr�nico y contrase�as de sitios web no leg�timos�(Sustainability, 2023).

Para los comerciantes de la parroquia Chong�n, lugar donde surge la problem�tica de esta investigaci�n. Evidencia que, la creciente preocupaci�n por la vulnerabilidad de sus datos a trav�s de medios electr�nicos como el correo, es una situaci�n que no pasa desapercibida. Por esa raz�n, se apunta a la identificaci�n del problema en base a el seguimiento de una serie de eventos que en los �ltimos meses han tenido como objetivo irrumpir la seguridad de los medios electr�nicos de los habitantes del sector que es sujeto de este estudio. La tendencia muestra que gran parte de los atacantes buscan explotar vulnerabilidades mediante t�cnicas de ingenier�a social, siendo el phishing uno de los ataques m�s comunes para explotar vulnerabilidades mediante los correos electr�nicos.��

El problema se ubica en el sector colibr� 1, en este sector posee un grupo de personas que se dedican al comercio, sus actividades van desde due�os de peque�as tiendas, hasta vendedores de ropa y propietarios de bazares con varios locales distribuidos a lo largo y ancho de la parroquia. La importancia de elegir esta parte de la poblaci�n como sujeto de estudio se justifica en base a la serie de inconvenientes que se atestigu� en los �ltimos meses en el sector y donde los comerciantes resaltaban como el objetivo principal de los ciberdelincuentes.

Adicionalmente, la evidente falta de conocimiento tecnol�gico asociada al cuidado de la informaci�n que se comparte por medios electr�nicos figura para este caso como un problema que no puede pasar a segundo plano. De modo que, es una situaci�n que no requiere de esfuerzos mayores para su correcci�n. Pero si puede ser la base de las soluciones que se vayan a exponer.�

 

Metodolog�a

Para este proyecto de investigaci�n se eligi� una metodolog�a mixta, esta elecci�n se fundamenta en la necesidad de abordar la complejidad del problema desde m�ltiples perspectivas y recopilar datos tanto cuantitativos como cualitativos, haciendo uso de instrumentos de investigaci�n lo cual depender� de la naturaleza de la informaci�n que se desea recopilar, todo esto con el objetivo de obtener una comprensi�n m�s s�lida del tema de estudio.

Algunas de las caracter�sticas que se destacan con la elecci�n de esta metodolog�a son:

• Complementariedad de enfoques: Al combinar m�todos cuantitativos y cualitativos, se aprovecha la complementariedad de ambos enfoques. Mientras que los m�todos cuantitativos proporcionan datos num�ricos objetivos sobre la frecuencia y la incidencia de ciertos aspectos como seria en este caso, el porcentaje de correos electr�nicos con caracter�sticas sospechosas, los m�todos cualitativos permiten explorar en profundidad las percepciones, experiencias y contextos de los individuos involucrados, a lo que se podr�a destacar las percepciones de los usuarios sobre la seguridad de su correo electr�nico.
• Validaci�n cruzada: Los hallazgos cuantitativos pueden ser relacionados con evidencia cualitativa, y viceversa, lo que aumenta el nivel de credibilidad y fiabilidad de los resultados. Para este caso se podr�a tener en cuenta que, si los datos cuantitativos indican un alto porcentaje de correos electr�nicos sospechosos, esta tendencia puede ser confirmada mediante el an�lisis obtenido a partir de las entrevistas cualitativas con los usuarios�(Escudero S�nchez, C. L. & Cortez Su�rez, L. A. , 2018).
• Flexibilidad y adaptabilidad: La utilizaci�n de una metodolog�a mixta brindar� una mayor flexibilidad y adaptabilidad generando un mejor ajustarse a las necesidades y caracter�sticas espec�ficas del problema que se est� investigando. Esto permite utilizar diferentes estrategias de recopilaci�n y an�lisis de datos seg�n sea necesario, lo que maximiza la eficacia y la relevancia de la investigaci�n en el contexto particular de la seguridad de los comerciantes en el sector colibr� 1.

Enfoque cuantitativo

Para el desarrollo de la investigaci�n se utilizaron t�cnicas cuantitativas con el fin de representar parte del problema y su respectiva soluci�n mediante valores num�ricos y asi generar una validaci�n cruzada con los resultados cualitativos. De este modo, se pudo evidenciar los porcentajes de vulnerabilidad al aplicar herramientas de an�lisis de encabezados a los correos electr�nicos.

Enfoque cualitativo

En este apartado se recurri� al uso de encuestas con preguntas abiertas para conocer el nivel de conocimiento tecnol�gico. Adem�s, se realiz� entrevistas a los participantes del an�lisis, logrando asi la obtenci�n de resultados en base a la experiencia del sujeto de estudio.

An�lisis forense de correos electr�nicos

Se realiza el an�lisis forense utilizando las herramientas mencionadas previamente. Este an�lisis incluye la identificaci�n de posibles amenazas, la detecci�n de actividades sospechosas en los correos electr�nicos y mitigaci�n de vulnerabilidades.

A continuaci�n, se presenta el proceso de an�lisis forense con el desarrollo de todas sus fases de manera secuencial.

Fase 1: Identificaci�n

En esta fase se identific� que para este an�lisis forense lo recomendable ser�a trabajar con la copia de la mensajer�a del correo electr�nico de los sujetos a investigarse. Siendo as�, y con el respectivo permiso del propietario de la cuenta tal cual se adjunta el formato en los anexos, se proceder� a generar un archivo de tipo MBOX, dicho proceso se detalla a continuaci�n.

1. Se accede a la cuenta para proceder a generar la copia de los mensajes y archivos adjuntos de Gmail, donde se generar� un archivo MBOX, como se evidencia en la figura 1.

 

 

 

 

 

 

 

 

Figura 1. Generaci�n de documento MBOX con la copia de la mensajer�a

 

2. Una vez generada la copia, se procede con la descarga, como se muestra en la figura 2.

 

 

 

 

 

Figura 1. Descarga del archivo generado

Nota: Para medir el nivel de seguridad en los correos analizados se define como par�metro que los protocolos de seguridad deben dar como resultado un porcentaje superior al 80% para concluir que no existe una vulnerabilidad significativa dentro del proceso an�lisis de encabezados.

Fase 2: Preservaci�n

En esta fase se busca mantener integra la informaci�n recopilada y por esa raz�n se almacena en carpetas con su respectiva copia de seguridad; donde el acceso sea gestionado �nicamente por la parte que lleva a cabo el proceso de an�lisis. El cumplir con estos pasos asegura la disponibilidad de la informaci�n, como se muestra en la figura 3.

 

 

 

 

 

Figura 2. Guardado y cifrado de informaci�n

Fase 3: Extracci�n

En la fase de extracci�n se hace uso de herramientas especializadas para obtener resultados en base a un an�lisis forense de seguridad, a continuaci�n, el detalle de las herramientas empleadas.

1. En primer lugar, se har� uso de la herramienta Aryson Mboxviewer, dicha herramienta ejecuta archivos Mbox y analiza la mensajer�a en varios formatos, de este modo se muestra el contenido de los mensajes de una forma m�s din�mica, como se visualiza en la figura 4.

 

 

 

 

 

 

 

 

 

 

 

Figura 3. Extracci�n de informaci�n mediante la herramienta Aryson

 

2. Aqu� se muestra la herramienta Systools MBOX Viewer, esta alternativa es similar a la anterior, de modo que al ingresar se debe seleccionar el tipo de aplicaci�n, donde se va a seleccionar los archivos de tipo MBOX, como se muestra a continuaci�n en la figura 5.

 

 

 

 

 

 

 

 

 

 

 

Figura 4. Extracci�n de informaci�n mediante la herramienta Systools

 

3. Una vez seleccionado el archivo que se ha generado de una copia de seguridad de la mensajer�a, se proceder� a cargar el archivo en formato MBOX se cargan los mensajes y archivos que contenga la copia. Como se muestra en la figura 6.

 

 

 

 

 

 

 

 

 

Figura 5. Informaci�n cargada al sistema

Fase 4: An�lisis

En esta fase se procede al an�lisis de encabezados haciendo uso de las herramientas Email Header Analyzer y message Header. El objetivo de esta parte de los correos tiene como fundamento los resultados que se obtendr� en base a los protocolos de seguridad que intervienen al momento de analizar encabezados.

Para empezar con el an�lisis hay que tener en cuenta los siguientes protocolos que precisamente fueron dise�ados como sistemas de protecci�n:

1. SPF: Se utiliza para verificar el remitente. Es decir, el sistema reenviar� un mensaje solo despu�s de que se haya identificado la identidad del remitente. Esta comprobaci�n se efect�a del lado de quien recibe el mensaje. Por esta raz�n, se destaca la importancia de configurar correctamente el protocolo�(L�pez S�nchez, 2019).

Los c�digos que se usan para identificar el estado del mensaje son:

• Pass. La fuente es v�lida.
• Fail. La fuente no es v�lida.
• Error. Se produjo un error de comprobaci�n.

2. DKIM: Realiza una comprobaci�n criptogr�fica con el objetivo de verificar que el mensaje fue enviado por una parte autorizada.
3. DMARC: Cuando un mensaje no cumpla con las pol�ticas de verificaci�n para comprobar si un correo es el leg�timo o no, este protocolo se encarga de definir como deber� actuar el servidor de correo receptor (DMARC, s. f.).

Luego de haber explicado el funcionamiento de los protocolos se exponen los resultados obtenidos en el an�lisis de cabeceras:

A continuaci�n, se verifica que los protocolos SPF, DKIM y DMARC funcionan correctamente, se procede con selecci�n de encabezados para su procesamiento mediante la herramienta Message Header, como se muestra en la figura 7.

 

 

 

 

 

 

 

 

 

Figura 6. Protocolos de seguridad en el an�lisis de encabezados

 

Por otra parte, se realizar� el mismo procedimiento del an�lisis de encabezados con la herramienta Email Header Analyzer. Esta herramienta a diferencia de la anterior ofrece un an�lisis m�s detallado de cada parte analizada del encabezado y el funcionamiento de cada protocolo se evidencia en cada paso con su respectivo indicador de cumplimiento o no, de las pol�ticas de seguridad de seguridad, como se muestra en la figura 8.

 

 

 

 

 

 

 

 

Figura 7. Resultados con la herramienta Email Analyzer Header

 

Con la correcta configuraci�n de los protocolos SPF y DKIM aumenta el porcentaje de eficiencia del an�lisis y por ende los resultados indicar�n con mayor precisi�n si existe alguna amenaza. De este modo, se puede identificar la autenticidad de cada correo analizado, como se evidencia en la figura 9.

 

 

 

 

 

 

 

 

 

Figura 8. An�lisis seg�n protocolos de seguridad

 

 

Fase 5: Documentaci�n

En esta fase se entrega el informe con los resultados y las conclusiones obtenidas del an�lisis forense de seguridad a los correos electr�nicos.

 

Resultados y discusi�n

Los resultados obtenidos del an�lisis forense se identific� una tendencia y esta se divide en dos partes, por un lado, los correos leg�timos y por otro los intentos de suplantaci�n.

• Correo Leg�timo: La mayor�a de los correos electr�nicos analizados eran leg�timos y proced�an de fuentes autorizadas.
• Intentos de Suplantaci�n: Se detectaron algunos intentos de suplantaci�n de identidad en los correos electr�nicos y aunque era evidente la se�al de peligro, muchas personas desconocen c�mo pueden facilitar sus datos en cuesti�n de segundos a ciberdelincuentes con el simple hecho de dar clic a un enlace.

Una vez concluido el proceso de an�lisis forense se procede a exponer los hallazgos encontrados al finalizar, como se visualiza en la tabla 1

 

Tabla 1. Resultados de an�lisis forense

Correo���������� ��������������������������������� Herramientas ������� Amenazas��������� ����� Evidencias ������������������������������������������������� usadas�������������������� detectadas��������������� encontradas���
alexandravaldez895@gmail.com	Systools Mbox Viewer -Email analyzer Header	Ataques de phishing, mediante t�cnicas de ingenier�a social(typosquatting)	Archivos maliciosos adjuntos a correos
johannareyes1116@gmail.com	Aryson Mbox Viewer-Message Header	Ninguna	Correos desconocidos a spam
eramos.ineval@gmail.com	Systools Mbox Viewer-Message Header	Ninguna	Correos desconocidos a spam
espinozajamileth24@gmail.com	Aryson Mbox Viewer-Email analyzer Header	Ninguna	Correos desconocidos a spam
lindaoyomaira25@gmail.com	Systools Mbox Viewer-Message Header	Spoffing	Enlaces e im�genes falsas
vergaralester400@gmail.com	Systools Mbox Viewer-Email analyzer Header	Ninguna	Ninguna
elena.ramirez.tamayo@gmail.com	Systools Mbox Viewer-Email analyzer Header	Ninguna	Ninguna
johannadiazalcivar@gmail.com	Systools Mbox Viewer-Email analyzer Header	Spoffing (typosquatting)	Enlaces de p�ginas web clonadas
luca.marvin1999@gmail.com	Aryson Mbox Viewer-Message Header	Ninguna	Correos desconocidos a spam
karolinaaylin.1993@gmail.com	Aryson Mbox Viewer-Message Header	Ataque de phishing	Archivos maliciosos
emelivallejo1999@gmail.com	Aryson Mbox Viewer-Message Header	Ninguna	Correos desconocidos a spam

 

La identificaci�n y mitigaci�n de vulnerabilidades parte de un correcto an�lisis de encabezados, esto a su vez va acompa�ado de la revisi�n de funcionamiento de protocolos de seguridad en correos electr�nicos los cuales han sido mencionados previamente en parte de este trabajo. En la tabla 2 se muestra una breve descripci�n de cada uno acompa�ado de los resultados obtenidos.

 

 

Tabla 2. An�lisis de encabezados de correos electr�nicos

Protocolo	Descripci�n	Resultados
SPF (Sender Policy Framework)	Verifica si un correo fue enviado desde una fuente autorizada.	La mayor�a de los correos electr�nicos fueron enviados desde fuentes autorizadas.
DKIM (DomainKeys Identified Mail)	Permite verificar que un correo fue enviado y autorizado por el due�o del dominio del correo.	Los correos electr�nicos analizados pasaron la verificaci�n de DKIM, indicando que eran aut�nticos.
DMARC (Domain-based Message Authentication, Reporting, and Conformance)	Protege contra el uso no autorizado de un dominio de correo electr�nico.	Algunos correos electr�nicos no cumplieron con las pol�ticas de DMARC, sugiriendo posibles intentos de suplantaci�n de identidad.

 

Conclusiones:

• Se logr� gestionar exitosamente el acceso a la informaci�n de los participantes del an�lisis, el establecer un buen nivel de confianza ayud� a que el proceso se lleve a cabo con un constante aporte mutuo.
• Se analiz� los metadatos y toda la informaci�n que se pudo capturar de la evidencia recopilada, el escoger correctamente las herramientas de an�lisis hizo que esta fase se lleve a cabo sin ning�n contratiempo.

Se identific� correctamente cuales ser�an las herramientas necesarias para el desarrollo de la parte pr�ctica y consecuentemente se pudo evidenciar que los resultados obtenidos eran los previstos antes de empezar con el proyecto.

 

 

 

 

 

 

Referencias

DMARC. (s. f.). POWERDMARC. Obtenido de https://powerdmarc.com/es/what-is-dmarc/

Escudero S�nchez, C. L., & Cortez Su�rez, L. A. . (2018). T�cnicas y m�todos cualitativos para la investigaci�n cient�fica. Obtenido de http://repositorio.utmachala.edu.ec/handle/48000/12501

L�pez S�nchez, J. (2019). M�todos y t�cnicas de detecci�n temprana de casos de phishing.

Obtenido de http://hdl.handle.net/10609/89225

Rochina Rochina, C. (2021). Dise�o y evaluaci�n de una metodolog�a para reducir los ciberataques originados a trav�s de correo electr�nico mediante la aplicaci�n de filtros y reglas sobre un Gateway. Obtenido de http://dspace.espoch.edu.ec/handle/123456789/14677

Sustainability. (2023). Email Security Issues, Tools, and Techniques Used in Investigation.

Obtenido de https://doi.org/10.3390/su151310612

[6] Verizon. (2023). Data Breach Investigations Report 2023. Obtenido de

https://www.verizon.com/business/resources/reports/dbir/?msockid=29a22d7782076ad624ad3f1

86076c0c

�

 

 

 

 

 

 

 

 

 

 

 

 

 

� 2024 por los autores. Este art�culo es de acceso abierto y distribuido seg�n los t�rminos y condiciones de la licencia Creative Commons Atribuci�n-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/).