¿Por qué alguien querría bloquear las imágenes en el correo electrónico?

Varios motivos:

• Cuanto más contenido en el correo electrónico cargue e interprete el cliente, mayor será la posibilidad de que el correo electrónico entregue una carga útil malintencionada. Me viene a la mente la vulnerabilidad relativamente reciente en el código de representación JPEG 2000: simplemente mostrar una imagen maliciosa podría ser peligroso.

• Las imágenes en el correo electrónico son comúnmente utilizadas por los spammers y los vendedores para determinar si ha abierto un correo electrónico o no. Esto implícitamente también les dice si el correo electrónico se entregó correctamente y si la dirección de correo electrónico de destino era válida (útil para los spammers).

• Dependiendo de su plataforma de correo, las descargas de imágenes pueden indicar al remitente la dirección IP del usuario.

• Las URL de imágenes se pueden usar teóricamente para atacar una red desde adentro. Por ejemplo:

<img src="http://192.168.0.1/apply.pl?user=admin&password=admin&action=EnableRemoteLogin">

Es de esperar que un ataque como el anterior fallaría, pero la gente de seguridad prefiere limitar la exposición tanto como sea posible.

Creo que hay dos riesgos de seguridad separados que deben abordarse aquí:

Imágenes que en realidad están en el correo electrónico. Como algunos se han referido, existe una correlación directa entre la cantidad de contenido que permite su correo electrónico. cliente para cargar y la superficie de ataque de su computadora mientras carga ese correo electrónico. Si permites que tu sistema cargue archivos adjuntos automáticamente, es mucho más probable que encuentres un archivo malicioso que comprometa tu computadora.

Vínculos a contenido remoto. Esto es lo que más comúnmente se bloquea cuando su cliente de correo electrónico dice algo al efecto de "Haga clic aquí para descargar imágenes ...". Una vez descargadas, estas imágenes pueden aparecer para estar "en" el correo electrónico. Pero en realidad están alojados en servidores web remotos. Hay algunas razones por las que querrías bloquearlas para que no se carguen automáticamente.

1. Obviamente, su primera preocupación es que el correo electrónico es una estafa y el contenido remoto proviene de una fuente hostil. Luego, volvemos a riesgos similares como con las imágenes que están en el correo electrónico.

2. Como han mencionado otros, esto es algo así como un compromiso de privacidad. Una vez que su sistema contacta con el servidor web para descargar el contenido remoto, se pueden revelar algunas cosas al anfitrión de ese contenido:

   • Su dirección de correo electrónico. (Y se puede inferir que la dirección es válida y que el buzón se verifica con cierta frecuencia).
   • Su dirección IP.
   • El nombre y la versión de su cliente de correo electrónico.

   También vale la pena señalar que la información disponible a través del conocimiento de su dirección IP y su asociación con su dirección de correo electrónico podrían incluir:

   • Su ubicación geográfica general.
   • El nombre de su empleador y / o su ISP.

   Aunque algunas direcciones de correo electrónico filtran de forma inherente la información del empleador / ISP / ubicación, las direcciones IP pueden filtrar esta información, independientemente de lo que esté o no en su dirección de correo electrónico.

   Todos los bits de información anteriores podrían facilitar la explotación futura de su sistema, o intentos de phishing contra usted personalmente.

3. Otra posibilidad a tener en cuenta es que el servidor web remoto, si bien es posible que sea perfectamente amigable, podría verse comprometido en algún momento entre el envío del correo electrónico y su lectura. Un atacante podría entonces reemplazar el contenido remoto (que de otro modo sería de una fuente que usted conoce y en el que confía) con algo propio, lo que nos lleva nuevamente al punto número 1.

4. Los enlaces maliciosos a contenido remoto activo, en lugar de solo imágenes estáticas, podrían dañar aún más su sistema. Como mencionó @tylerl, una etiqueta de imagen puede apuntar a un script malicioso u otro contenido que podría dañar su computadora o realizar acciones no deseadas en su nombre. Al evitar que el contenido remoto se cargue por completo, se evita esto.

Porque recuperar la imagen del servidor puede revelar su dirección IP, lo que se considera un problema de privacidad. (La imagen puede provenir de otro lugar que no sea donde se originó el correo electrónico, por ejemplo). También valida su existencia para los spammers; pueden saber que el correo electrónico se abrió cuando se recuperó la imagen incrustada, y pueden volver a pasar los identificadores para indicar qué destinatario lo abrió.     

Tiene más que ver con la seguridad que con el gusto.

Hay explotaciones integradas en las imágenes y se pueden usar para atacar a las computadoras. Por lo tanto, si una imagen proviene de una fuente que no es confiable, se debe bloquear.

La decisión de diseño de no cargar imágenes de forma automática en correos electrónicos probablemente se remonta a cuando las velocidades de línea son muy variables y las personas con velocidades de línea lentas (que incluso existen hoy en día) no querían que los archivos de imágenes grandes se descargaran de forma predeterminada.

Como nota al margen, tengo un primo que vive en el país sin televisión por cable y la velocidad de acceso telefónico en una línea telefónica es lo mejor que tiene en casa. Es muy muy lento.

Sin duda, hoy en día las velocidades de línea más altas son la norma, y parece que el valor predeterminado habría cambiado. Sin duda, los problemas de seguridad han impedido que el valor predeterminado cambie.