Suplantación de identidad por correo electrónico

Piensa antes de hacer clic

Casi 5.000 millones de personas utilizan el correo electrónico cada día para gestionar sus asuntos cotidianos porque es un medio de comunicación eficaz y cómodo. Aunque el correo electrónico es una valiosa herramienta de comunicación, también plantea una serie de amenazas y riesgos. Los delincuentes utilizan el correo electrónico en diversos ataques de phishing para acceder a información confidencial, como números de tarjetas de crédito o datos de identificación personal, o para inducir a las víctimas a realizar una acción que comprometa su seguridad.

Comprender los correos electrónicos de phishing

La definición de un correo electrónico de phishing es un correo electrónico enviado a un destinatario con la intención de que realice una tarea específica. El atacante puede utilizar técnicas de ingeniería social para hacer que el correo electrónico parezca auténtico y puede incluir una solicitud para hacer clic en un enlace, abrir un archivo adjunto o proporcionar otra información sensible, como los datos de inicio de sesión.

Los correos electrónicos de phishing de ingeniería social son peligrosos. Están estructurados para ser relevantes y a menudo parecen auténticos para sus destinatarios. El destinatario confía más en el correo electrónico y lleva a cabo la tarea solicitada en el mismo. Los resultados pueden ser devastadores. Si el destinatario hace clic en un enlace a un sitio web infectado con malware, abre un archivo adjunto con una carga maliciosa o revela sus datos de acceso, un atacante puede obtener acceso a la red sin ser detectado. En realidad, es bastante aterrador todo lo que se puede averiguar sobre una persona en Internet sin tener que entrar en bases de datos o engañar a alguien para que revele información confidencial.

El papel de las redes sociales en el phishing

Los delincuentes pueden recopilar rápidamente información personal de sitios de redes sociales, perfiles profesionales y otras publicaciones en línea para identificar posibles desencadenantes a los que la gente responda. No sería demasiado difícil encontrar información sobre los hijos de un empleado, su escuela y un evento en la escuela para enviar un correo electrónico a los padres pidiéndoles que hagan clic en un enlace o abran un archivo adjunto para que su hijo pueda asistir al evento. El aprendizaje automático y la inteligencia artificial permitirán a los estafadores reunir esta información mucho más rápidamente en el futuro.

Cómo identificar los correos electrónicos de phishing

Según las estadísticas de la Universidad de Columbia Británica, cada día se envían unos 150 millones de correos electrónicos de phishing y cada día caen en una estafa unas 80.000 personas. Esto puede dar lugar, por ejemplo, al robo de identidades, pérdidas económicas y fraude con tarjetas de crédito. Entonces, ¿cómo podemos identificar los correos electrónicos de phishing y evitar caer en ellos?

Los correos electrónicos que amenazan con consecuencias negativas u oportunidades perdidas a menos que se tomen medidas urgentes suelen ser correos electrónicos de phishing. Los atacantes suelen utilizar este enfoque para apresurar a los destinatarios a actuar antes de que hayan tenido la oportunidad de examinar el correo electrónico en busca de posibles errores o incoherencias. Otra forma de identificar los correos electrónicos de phishing es a través de los errores gramaticales y ortográficos. Muchas empresas utilizan herramientas de corrección ortográfica por defecto en los correos electrónicos salientes para asegurarse de que los correos electrónicos son gramaticalmente correctos. Quienes utilizan clientes de correo electrónico basados en navegadores utilizan funciones de autocorrección o de resaltado en sus navegadores.

Los correos electrónicos entre colegas suelen contener un saludo informal. Los que empiezan por «Estimado» o contienen frases que no se utilizan normalmente en una conversación informal, proceden de fuentes no familiarizadas con el estilo de interacción en la oficina de tu empresa, deben levantar sospechas. Otra forma de identificar el phishing es buscar incoherencias en las direcciones de correo electrónico, los enlaces y los nombres de dominio. ¿Proviene el correo electrónico de una organización con la que intercambias correspondencia con frecuencia? Si es así, comprueba la dirección del remitente y compárala con correos anteriores de la misma organización. Comprueba si el enlace es legítimo pasando el ratón por encima del enlace y viendo lo que muestra. Si el correo electrónico dice proceder de Google, por ejemplo, pero el nombre del dominio es otro, puede tratarse de un ataque de phishing.

Adjuntos y solicitudes sospechosos, demasiado buenos para ser verdad

Hoy en día, la mayor parte del intercambio de archivos relacionados con el trabajo se realiza a través de herramientas de colaboración conocidas y ampliamente utilizadas. Por lo tanto, los correos electrónicos internos con archivos adjuntos deben tratarse siempre con recelo, especialmente si contienen una extensión de archivo desconocida o asociada habitualmente a malware (.zip, .exe, .scr, etc.). Los correos electrónicos de remitentes inesperados o desconocidos que solicitan datos de inicio de sesión, datos de pago u otra información confidencial deben tratarse siempre con precaución. Los spear phishers pueden falsificar páginas de inicio de sesión para que parezcan reales y enviar un correo electrónico con un enlace que dirija al destinatario a la página falsificada. Cuando el destinatario es redirigido a la página de inicio de sesión o se le indica que debe pagar, no debe introducir ninguna información a menos que esté 100% seguro de que el correo electrónico es legítimo.

Los correos electrónicos que animan al destinatario a hacer clic en un enlace o a abrir un archivo adjunto, afirmando que recibirá algún tipo de recompensa, son demasiado buenos para ser verdad.