En las conversaciones con los equipos de seguridad de muchos de nuestros clientes empresariales, los expertos de Retarus a menudo se encuentran con un riesgo comúnmente pasado por alto. El problema es que algunas soluciones de seguridad de correo electrónico activan la etiqueta DKIM «l=» (etiqueta de longitud) de forma predeterminada. Si bien esta opción tenía sentido en el pasado, ahora plantea importantes riesgos de seguridad.
¿Qué es la etiqueta DKIM «l=»? ¿Y para qué se concibió originalmente?
DKIM (DomainKeys Identified Mail) es un método comprobado para garantizar que los correos electrónicos no se manipulen subrepticiamente mientras están en tránsito. El destinatario utiliza una clave pública para verificar que el contenido y ciertos encabezados no se han alterados.
La etiqueta «l=» especifica hasta qué byte del texto del mensaje se extiende la firma. El resto del correo electrónico no está seguro. Originalmente, esta opción era útil para escenarios que involucran listas de correo o reenvío, en los que el cuerpo del mensaje se altera (por ejemplo, adjuntando pies de página), ya que permite que el texto del correo electrónico principal aún se reconozca como válido.
¿Por qué la etiqueta «l=» representa un riesgo de seguridad?
Al mismo tiempo, este mecanismo expone una superficie de ataque sustancial, por ejemplo, a través de enlaces de phishing o contenido no deseado, sin que se active la verificación DKIM. Dado que la firma sigue siendo formalmente válida, los controles DMARC también pierden eficacia. Además, abre la posibilidad de que los ataques se lleven a cabo mediante reenvío, lo que ha llevado a algunos grandes proveedores de correo electrónico a responder con advertencias o rechazos.
Lo que hace que esto sea particularmente peligroso es que algunas soluciones de seguridad activan la etiqueta «l=» de forma predeterminada sin que los usuarios lo sepan. Al mismo tiempo, nuestros clientes habían asumido que sus correos electrónicos estaban completamente firmados y seguros. Esto no es solo un problema teórico. Las auditorías realizadas por nuestros expertos muestran que las firmas DKIM que usan la etiqueta «l=» todavía están en uso en algunas organizaciones, lo que podría exponer sus correos electrónicos a la manipulación sin ningún impacto en la verificación de DKIM.
Recomendaciones para correos electrónicos entrantes
Se recomienda a los destinatarios que examinen cuidadosamente los correos electrónicos con etiquetas «l=». Una opción sería que las empresas pusieran inicialmente en cuarentena estos mensajes de forma predeterminada utilizando sus propias soluciones de seguridad de correo electrónico, o alternativamente podrían ignorar la firma DKIM para que el correo electrónico permanezca sujeto a otros mecanismos de seguridad como SPF o DMARC.
Recomendaciones para correos electrónicos entrantes
Los remitentes deben evitar usar la etiqueta «l=» y, en su lugar, firmar digitalmente todo el contenido del mensaje. Además, la seguridad puede reforzarse mediante la rotación periódica de las claves DKIM, el uso de selectores distintos para diferentes flujos de correo y, cuando corresponda, el establecimiento de fechas de vencimiento para las firmas.
