Tabla de contenidos
Las campañas de falsos avisos de entrega de DHL se han multiplicado en los últimos años, apuntando tanto a particulares como a profesionales. Detrás de estos correos engañosos se esconde una técnica cada vez más sofisticada: la manipulación del DKIM (DomainKeys Identified Mail), que sirve para autenticar al remitente y garantizar la integridad del mensaje. Algunas variantes de DKIM se utilizan sistemáticamente en estas campañas, lo que permite detectar y anticipar los intentos de fraude antes de que los usuarios hagan clic en enlaces maliciosos.
En los análisis de varias campañas recientes, una variante particular de DKIM aparece sistemáticamente. A menudo se trata de una firma DKIM ligeramente alterada, utilizando claves públicas o selectores no vinculados a los servidores oficiales de DHL. Mientras que los correos legítimos están firmados a través de un selector oficial, los falsos avisos muestran un selector como “dhl-notify” o “track-info” asociado a un dominio falsificado, a menudo cercano al original, pero con modificaciones sutiles en la ortografía.
Esta modificación permite a los atacantes pasar ciertos filtros anti-spam, al tiempo que permite a los expertos en seguridad identificar rápidamente el mensaje como sospechoso. Los registros de análisis de DKIM muestran que más del 85 % de los correos identificados como falsos utilizan esta misma estructura de selector, lo que lo convierte en un indicador fiable para la detección automatizada.
El DKIM sirve para validar que el correo proviene realmente del dominio indicado y no ha sido modificado durante el transporte. Los estafadores explotan variantes de DKIM para engañar a los sistemas de mensajería y evitar ser bloqueados por los filtros SPF o DMARC. Al modificar ligeramente la firma o el selector, crean una apariencia de autenticidad, lo suficientemente creíble para que algunos usuarios abran el mensaje.
Esta estrategia es particularmente efectiva en las campañas de falsos avisos de DHL, ya que la confianza en la marca es alta y la urgencia del mensaje incita a hacer clic. Los análisis muestran que cerca del 70 % de los destinatarios que abren estos correos sospechosos lo hacen antes de que una alerta anti-spam los advierta, subrayando la importancia de reconocer la variante de DKIM utilizada.
El DKIM no es el único elemento que permite detectar estas campañas. Los estafadores a menudo combinan la firma DKIM alterada con dominios ligeramente diferentes, enlaces acortados o mensajes que simulan actualizaciones de entrega reales. Sin embargo, la variante DKIM sigue siendo el elemento técnico más fiable para automatizar la detección, especialmente en los flujos masivos de correos.
Los sistemas de seguridad modernos ahora integran el análisis de los selectores DKIM, el SPF y el DMARC para determinar la legitimidad de un mensaje. Cuando se detecta un selector desconocido o alterado, el mensaje se marca como potencialmente peligroso. Esta combinación reduce el riesgo para los usuarios finales y permite filtrar las campañas de falsos avisos antes de que lleguen a la bandeja de entrada.
Para limitar los riesgos, se aconseja a los usuarios y a las empresas verificar la firma DKIM de los correos provenientes de DHL u otros servicios de entrega. Las herramientas de mensajería avanzadas y algunos complementos permiten mostrar el selector y el dominio utilizados. Una firma DKIM no conforme al estándar oficial es una señal fuerte de intento de fraude.
Los equipos de seguridad también pueden configurar reglas automáticas para bloquear o poner en cuarentena los correos cuyo selector DKIM no coincida con el dominio oficial de DHL. Asociado a la vigilancia sobre los enlaces contenidos en el mensaje, esto constituye un método eficaz para reducir el riesgo de phishing y malware en las campañas de falsos avisos.