AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Puerta trasera en DoorDash: vulnerabilidad permitía envío de correos legítimos para phishing

admin

Introducción

En el dinámico panorama de la ciberseguridad, las vulnerabilidades relacionadas con la suplantación de correo electrónico siguen siendo una de las amenazas más críticas para las organizaciones. Recientemente, DoorDash, la conocida plataforma de entrega de comida a domicilio, se ha visto envuelta en una controversia tras la revelación de una vulnerabilidad en sus sistemas de email, la cual permitía a cualquier atacante enviar mensajes perfectamente legítimos desde los propios servidores autorizados de la empresa. Este incidente no solo ha puesto en jaque la reputación y la seguridad de DoorDash, sino que también ha desencadenado un agrio debate sobre la gestión responsable de la divulgación de fallos de seguridad.

Contexto del Incidente

La vulnerabilidad fue descubierta por un investigador independiente, que detectó la posibilidad de abusar de los sistemas de correo de DoorDash para enviar emails con apariencia completamente legítima. Estos correos, al provenir de servidores SMTP autorizados y emplear plantillas oficiales de la compañía, podían superar filtros antiphishing y engañar tanto a clientes como a empleados. DoorDash actuó rápidamente para subsanar el fallo, pero el proceso de divulgación se vio empañado por un cruce de acusaciones entre el investigador y la empresa sobre supuestas malas prácticas en la comunicación y gestión del hallazgo.

Detalles Técnicos

La vulnerabilidad, aún sin CVE asignado a la fecha de redacción, residía en una mala configuración del sistema de envío de correos transaccionales y promocionales de DoorDash. Concretamente, los endpoints de la API interna responsables del envío de emails no implementaban una verificación de autenticidad o autorización suficiente, permitiendo a usuarios no autenticados o con credenciales mínimas manipular los parámetros del mensaje (remitente, destinatario, asunto y cuerpo del texto).

Así, un atacante podía construir una petición HTTP legítima hacia el endpoint de la API de DoorDash, adjuntando el contenido deseado e incluso seleccionando plantillas oficiales de la empresa. El correo era enviado desde las direcciones auténticas de DoorDash, firmadas con los registros SPF y DKIM válidos, lo que garantizaba su entrega y autenticidad aparente ante la mayoría de filtros antispam y soluciones de seguridad de correo.

En términos de MITRE ATT&CK, la técnica utilizada se encuadra dentro de T1585.002 (Phishing: Spearphishing via Service). El vector de ataque principal era la manipulación de la API pública/privada sin controles de autorización estrictos. Los Indicadores de Compromiso (IoC) asociados son difíciles de rastrear, dado que los correos provenían de la infraestructura legítima de DoorDash, pero los SOC deben vigilar patrones de envío inusuales o volúmenes anómalos desde las direcciones corporativas.

No se han reportado exploits públicos, pero sería trivial adaptar herramientas como Metasploit o crear scripts personalizados en Python para automatizar el envío masivo de phishing desde la plataforma comprometida.

Impacto y Riesgos

El impacto potencial de esta vulnerabilidad es severo. Permitiría campañas de phishing de alto éxito, capaces de sortear la mayoría de controles tradicionales basados en reputación, SPF/DKIM/DMARC y análisis heurístico. Los atacantes podrían obtener credenciales, propagar malware o realizar ataques BEC (Business Email Compromise) contra empleados, partners y usuarios finales. En entornos regulados, un incidente de estas características podría desencadenar investigaciones bajo el GDPR y la Directiva NIS2, con posibles sanciones económicas de hasta el 4% del volumen global anual de negocio y daños reputacionales muy difíciles de revertir.

Medidas de Mitigación y Recomendaciones

DoorDash ha parcheado la vulnerabilidad, añadiendo controles adicionales de autenticación y autorización en los endpoints afectados. Se recomienda a todas las organizaciones con sistemas similares:

– Revisar la exposición de APIs internas y públicas, empleando autenticación robusta (OAuth 2.0, JWT).
– Implementar validaciones estrictas del remitente y los parámetros del correo en sistemas de envío automatizado.
– Monitorizar el volumen y patrones de envío desde cuentas corporativas.
– Realizar auditorías periódicas de configuración de SPF, DKIM y DMARC, y no confiar ciegamente en estos mecanismos.
– Capacitar a los usuarios para detectar correos maliciosos, incluso cuando parezcan legítimos.

Opinión de Expertos

Especialistas en ciberseguridad han señalado que esta vulnerabilidad es representativa de un problema endémico: la sobreconfianza en las soluciones técnicas de autenticación de correo frente a malas prácticas en la gestión de APIs. “El correo electrónico corporativo es un vector extremadamente sensible. No basta con configurar bien SPF y DKIM; cualquier bypass en la lógica de la aplicación puede abrir la puerta a ataques devastadores”, afirma Pablo López, analista senior en un SOC europeo. Por su parte, desde el sector legal se advierte del riesgo de sanciones regulatorias si la gestión de la vulnerabilidad y la notificación a usuarios afectados no es transparente y conforme al GDPR.

Implicaciones para Empresas y Usuarios

El caso DoorDash subraya la importancia de no confiar ciegamente en la procedencia de los emails y de mantener una vigilancia continua sobre las APIs y servicios expuestos. Las empresas deben reforzar sus procesos de gestión de vulnerabilidades, apostando por políticas de divulgación responsables y colaborando activamente con la comunidad investigadora. Para los usuarios, es vital desconfiar incluso de mensajes aparentemente legítimos y reportar cualquier actividad sospechosa.

Conclusiones

La vulnerabilidad en los sistemas de correo de DoorDash es un recordatorio de que la seguridad del canal email depende tanto de la configuración técnica como de la arquitectura lógica de las aplicaciones. La colaboración efectiva entre investigadores y empresas es crucial para minimizar el tiempo de exposición y proteger tanto a los usuarios como a la propia organización frente a riesgos regulatorios y de reputación.

(Fuente: www.bleepingcomputer.com)