El correo electrónico (o email) constituye a estas alturas de la historia una herramienta básica de comunicación, podemos decir que casi imprescindible. Nos permite desarrollar numerosas tareas, tanto a nivel particular como profesional, que es el ámbito que aquí nos ocupa. Precisamente por su utilidad y uso casi universal, el correo electrónico es objeto de deseo de hackers y robots malintencionados.
Cada día es más frecuente ver noticias, tanto escritas como en televisión, referentes a las problemas de seguridad con una herramienta tan utilizada y conocida como es el correo electrónico. Términos como spam, scam, phising, malware, fraudes en Internet, virus… se van volviendo cada vez más familiares a fuerza de utilizarse y de aparecer en los medios de comunicación.
Todos estos términos están relacionados con técnicas e intenciones maliciosas, y su finalidad en última instancia es conseguir ilícitamente información de nosotros siempre en su propio beneficio, y por tanto en nuestro perjuicio. Es, por tanto, fundamental tomar conciencia de estos riesgos y adoptar medidas de protección, que a veces son solo sencillos hábitos que nos pueden ahorrar muchos problemas.
Antes de enumerar nuestros consejos de seguridad, vamos a exponer un caso de fraude a través del correo electrónico que puede acarrear consecuencias muy graves para tu empresa. Y de hecho, es un tipo de estafa que se está produciendo con mayor frecuencia y con una sofisticación creciente. Consideramos que puede resultarte de gran utilidad conocer este caso tan sumamente pernicioso.
Un caso de «phising» (o suplantación de identidad) especialmente peligroso
Últimamente está siendo muy habitual una técnica de suplantación de identidad y posterior comunicación de cambio de cuenta bancaria. Los atacantes se hacen con el control de una cuenta de correo de empresa, consiguen los contactos y leen los mensajes, lo que les permite elaborar su estrategia de engaño. Esta es la 1ª víctima necesaria, la empresa suplantada.
En un correo de empresa es habitual que existan mails con facturas, datos de clientes y proveedores, etc… Entonces crean un correo similar al hackeado (con mismo logo, pie de email, etc…), y escriben a algún cliente solicitando el pago de alguna factura reciente que aún no ha sido abonada, pero eso si – y ahí está el truco – comunicando que han cambiado de cuenta bancaria, y rogando que el ingreso se realice en la nueva. Esta es la 2ª víctima necesaria, la empresa estafada, o mejor dicho, a la que se le va a intentar estafar.
Como los atacantes son cada vez más sofisticados y cuidadosos, envían en ese mismo correo un certificado bancario muy bien hecho en el que el banco en cuestión comunica y certifica el cambio de cuenta. Con esto, la trampa ya está tendida; ahora solo les queda esperar a que el receptor del email, que suele confiar en ese correo «tan auténtico«, realice el pago de dicha factura con transferencia al número de cuenta fraudulento, y así los atacantes consiguen el dinero cómodamente de la empresa estafada..
Por supuesto, lo sacarán de esa cuenta «pirata» en el menor tiempo posible, en cuestión de horas, y luego desaparecerán sin dejar rastro. Además del perjuicio económico, esta acción tan dañina posiblemente provocará recelos y tensiones entre la empresa estafada y la suplantada, pues ambas suelen pensar que la responsabilidad es de la otra.
Esta peligrosa técnica de fraude o estafa se basa en la buena fe y la confianza ya establecida entre las partes, ya que el estafado suele confiar en la apariencia y el mensaje del suplantado. Está claro que con una simple llamada de teléfono (por parte de la empresa estafada) ante este supuesto cambio de cuenta se daría al traste con el intento de estafa. Pero muchas veces la falta de tiempo, el exceso de confianza o simplemente el estar un poco despistado puede hacernos caer en este fraude tan bien preparado.
15 consejos básicos y prácticos de seguridad con nuestro email
Como hemos visto en el caso de phising anterior, con solo un poco de precaución y de estar alerta podemos abortar un intento de estafa. Ante un cambio relativamente importante de información (nº de cuenta), el sentido común nos aconseja confirmar ese cambio de forma inequívoca. Y precisamente en la aplicación de ese sentido común, y de algunas sencillas tácticas, se encuentra la mejor barrera de seguridad y protección.
A continuación vamos a comentar algunos consejos que te ayudarán a prevenir ataques potencialmente muy dañinos para tu empresa o negocio.
- En línea con el caso de phising o suplantación de identidad expuesto anteriormente, extrema la precaución con cualquier mensaje (aunque parezca legítimo) que te hable de cambios de cuenta bancaria, o de realizar un pago para un pedido pendiente, paquetes por entregar, etc… En caso de duda, verifica por otros medios la veracidad de dicho mensaje (llamando por teléfono, por ejemplo).
- Ningún banco o empresa de servicios te va a solicitar nunca que les envíes información confidencial por email, así como tampoco te pedirán que introduzcas de nuevo tus claves para verificar o permitir cualquier acción. Si un correo te solicita esto…¡ponte en guardia! Es casi seguro que se trata de phising o suplantación. Una vez que tengan tus datos de registro bancarios, accederán a tu cuenta y ya puedes suponer que ocurrirá.
- Últimamente también abundan casos de phising relacionados con las empresas proveedoras del servicio de correo electrónico. Los atacantes figuran ser empresas conocidas del sector (como Arsys o CDmon), y te informan de que tu cuenta está llena o suspendida, y tienes que acceder de inmediato a través de un enlace que te proporcionan para reactivarla. ¡NO lo hagas nunca! Si lo haces, tendrán acceso a tu correo electrónico, a tus mensajes, contactos, etc… y lo usarán para cometer más estafas o hackeos.
- Utiliza contraseñas seguras y complejas para tus cuentas de email, y cámbialas a menudo. Se trata de ponérselo fácil a los hackers; si tu empresa y dominio se llama Atenea, no pongas una contraseña tipo: atenea2021, es muy fácil de hackear. Ni por supuesto usar la contraseña más utilizada en el mundo: 123456, o parecidas.
Utiliza claves robustas y compuestas con mayúsculas/minúsculas, números y símbolos, sin lógica alguna, del tipo: ahB26*a23=34. Si, si, ya sé que no se pueden recordar con facilidad, pero este punto es crucial para la seguridad de tu cuenta.
- No olvides cambiar las contraseñas cada cierto tiempo, aunque sea engorroso. Ahh, y destierra para siempre la costumbre de poner la misma clave a todas tus cuentas, eso es una puerta abierta a tu información sensible.
- Si lo puedes evitar, no accedas a tus cuentas de correo importantes desde equipos públicos o desde redes Wi-Fi públicas y abiertas. En estos casos es fácil que se puedan interceptar tus credenciales de acceso, ya que el nivel de seguridad será bajo y a merced de atacantes maliciosos.
- Si lo necesitas, crea una «cuenta escoba» para recibir en ella todo tipo de correos poco relevantes, comerciales, promociones y ofertas, registro de suscripciones, publicidad, etc. De esta manera, no mezclarás estos correos con los de empresa, y evitarás que tus cuentas importantes se propaguen innecesariamente.
- Ten mucho cuidado con los archivos adjuntos, en especial aquellos que vengan en mensajes que te causen la mínima sospecha. En muchas ocasiones estos ficheros intentan pasar por ser archivos de Word (.doc o .docx), Excel (.xls o .xlsx) o PDF, aunque si pasas el cursor encima del archivo y lees su nombre completo podrás ver que suelen finalizar en .exe, .zip o .rar. Es decir, en realidad son archivos ejecutables, que al ser pinchados y abiertos desencadenan algún tipo de programa malicioso en tu equipo, casi siempre de forma inadvertida en ese momento. Ponte también en alerta si tu software de correo te avisa de que se tienen que habilitar macros para descargar archivos Word o Excel.
- Así mismo, también es recomendable inspeccionar las urls (o enlaces) que vienen dentro de un email sospechoso. Basta con poner el cursor del ratón encima y visualizar a que url o dirección web nos va a llevar dicho enlace. Por ejemplo, nos llega un correo un poco raro de Correos con un enlace avisando de un pedido que no esperamos; si lo inspeccionamos veremos si nos dirige al dominio correcto (www.correos.es/lo-que-sea/) o bien nos lleva a un dominio extraño (por ejemplo: xyx.sleepy.netlitoner.app/lo-que-sea/)
- Aunque esto es obvio, nunca viene mal recordarlo: NO abras correos, enlaces o adjuntos de emails que te dicen: que has ganado 20 millones de euros, un viaje al Caribe, un coche, que has sido elegido para heredar una fortuna, que puedes trabajar 1 hora desde casa ganando 3.000€ al día, y un largo etcétera de ofrecimientos que atentan contra el sentido común básico. Pero que, increíblemente, siguen obteniendo resultados para los estafadores, ¡¡porque sigue habiendo gente que pica en ello!!
- Si vas a escribir a dos o más destinatarios que no estén relacionados entre si (para enviar una invitación, por ejemplo), utiliza el sistema de copia oculta BCC o CCO (copia de carbón oculta) para evitar que los receptores del email vean las cuentas de los otras personas. Esto sigue ocurriendo ocasionalmente a día de hoy, te llega un mensaje de una lista de correos y puedes ver las direcciones de correo de los otros 835 destinatarios del email. Por cierto, este hecho es algo que va en contra de Ley de Protección de Datos.
- No facilites tu cuenta de correo en sitios webs de dudosos contenidos u objetivos (casinos, juegos online, pornografía, brokers, apuestas, trading, etc.), o que por algún motivo no te resulten de confianza. Si vas dejando tu cuenta por estos sitios, es casi seguro que recibirás más y más correos de spam, scam, phising, etc.
- El SPAM muchas veces es más molesto e irritante que realmente peligroso, pero es muy recomendable no abrir correos de este tipo, y más importante aún, NO responder nunca o pinchar en «Darse de baja» en un correo claramente spam. Esto lo que hará será confirmar a los spammers la existencia de tu cuenta, y recibirás más spam en el futuro.
- Asegúrate de tener instalado y actualizado un software antivirus/antimalware potente y efectivo, que analice la entrada de correos entrantes con opciones de desinfección, cuarentena, etc… A veces descuidamos este punto, que es fundamental para nuestra protección y seguridad.
- Y para finalizar, algunas cuestiones sencillas y de sentido común, como por ejemplo: no facilitar tus claves a nadie, cerrar la sesión cuando dejas de utilizar tu servicio de correo, no enviar información personal o confidencial por email, si accedes desde un equipo público asegúrate de borrar cookies, historial y caché del navegador, etc.
Esperamos que este artículo te sirva de aviso y de ayuda en la prevención de problemas relacionados con el correo electrónico, una herramienta sin duda indispensable, pero que debemos cuidar y proteger. Ten en cuenta que desde que comenzó la pandemia del coronavirus o Covid-19, los delitos informáticos se han multiplicado, por lo que adoptar una serie de buenos hábitos de seguridad ya no es una opción, sino una obligación.