El auge del Email falso: Cómo identificarlo y protegerse

Antes de comprender los perjuicios de los emails falsos, es importante ser capaz de identificar uno cuando lo veas en tu bandeja de entrada.

Un email falso se refiere básicamente a emails falsificados o fraudulentos que se envían con el objetivo de engañar al destinatario.

La finalidad varía mucho según cada tipo de email falso, y puede buscar información personal y confidencial para estafas financieras, instalar malware (virus) en el dispositivo del destinatario o incluso dirigirle a sitios web falsos para comprar productos a precios extrañamente atractivos.

¿Cómo detectar un Email falso?

Todo email falso tiene algunas características fundamentales que, si se observan correctamente, le protegerán de convertirse en víctima de algún tipo de estafa. Echemos un vistazo:

  • Remitente sospechoso: comprueba que el nombre del remitente no tenga caracteres extraños ni faltas de ortografía.
  • Correos no oficiales: desconfíe de remitentes de correo electrónico que no utilicen dominios oficiales (como gmail.com, o diferentes grafías, como SafetiMaills.com - "En lugar de SafetyMails.com"-, o SafeMails.Superdesconto.com;
  • Solicitudes inapropiadas: los correos electrónicos nunca deben solicitar datos personales, como contraseñas, números de tarjetas de crédito o datos bancarios, entre otros;
  • Ortografía: parece obvio, pero los correos fraudulentos no suelen valorar la calidad de su ortografía. Suelen tener errores groseros en el asunto o en el nombre del remitente, por ejemplo;
  • Enlaces acortados: los hiperenlaces que utilizan servicios de acortamiento (como bit.ly) pueden estar enmascarando el destino final. No hagas clic.
  • Enlaces enmascarados: muchos hiperenlaces se colocan sobre palabras (donde no se ve la URL completa). Para hacerlo más fácil, pasa el puntero del ratón por encima del hipervínculo y ya está: verás que se muestra la URL de destino y sabrás si es fiable o no.
  • Urgencia: los correos electrónicos que piden que se actúe de inmediato, con carácter de urgencia, son sospechosos;
  • Adjuntos: los correos electrónicos con adjuntos pueden ser peligrosos. Los organismos gubernamentales, especialmente las autoridades fiscales y las tiendas de comercio electrónico, nunca envían correos electrónicos con archivos adjuntos. No abras este tipo de archivos, salvo en los casos en que el remitente sea conocido y de confianza.
  • Promesas poco realistas: ¿conoces ese producto de 1.800 dólares que se ofrece en un "lote especial" por 400 dólares? ¡Huye!
  • Diseño y formato: este tipo de correos suelen tener un diseño pobre, con imágenes de baja calidad, a menudo intentando parecerse a algún sitio web famoso.

Consejos para identificar un correo electrónico falso

Aquí hay otros 2 consejos infalibles, pero requerirán un poco más de habilidad y conocimientos técnicos para detectar un email falso.

Fecha de publicación del sitio: muchos sitios de venta falsos, que prometen productos a precios demasiado tentadores, se crean sólo con el propósito de la estafa y luego se abandonan. Venden y nunca vuelven a ponerse en contacto con usted. Así que desconfíe de los sitios que se hayan publicado demasiado recientemente.

¿Y cómo lo sabes?

Para sitios en Brasil (.com.br), vaya a https://registro.br/tecnologia/ferramentas/whois/. Para sitios en otros dominios, vaya a https://who.is/.

buscar nombre de dominio en Whois website

Escriba el dominio que desea buscar y vea los resultados.

Who Is resultado de la búsqueda de Domain Informations

Autenticación del correo electrónico: para ser enviados y recibidos por los proveedores de correo electrónico, los mensajes deben pasar por determinadas autenticaciones de seguridad, como SPF, DKIM y DMARC.

Puede averiguar, utilizando cualquier webmail, si estas autenticaciones son funcionales y apropiadas en un correo electrónico.

En Gmail, por ejemplo, basta con abrir el mensaje y buscar el icono "más" (el de los 3 puntos) y buscar en el menú la opción "<> Mostrar original".

Ejemplo de email falso

Obviamente, cada webmail tendrá su propia forma de identificar si las autenticaciones están funcionando. Pero saber esto ya es un consejo de oro, ¿no?

Tipos de Email falso

Ahora que ya sabes cómo identificar un email falso y cómo evitarlo, es hora de conocer los tipos de emails falsos más comunes que puedes encontrar en tu bandeja de entrada.

Diferentes tipos de correos electrónicos no deseados estadísticas de mailmodo
Fuente: mailmodo

Phishing

Se trata de mensajes hechos para parecer correos electrónicos enviados desde una fuente legítima, como un banco o una empresa de comercio electrónico o tecnología. El objetivo es obtener información personal, como contraseñas o números de tarjetas de crédito.

En muchos casos, este email falso se complementa con datos obtenidos públicamente del destinatario (como el nombre de la persona, la empresa en la que trabaja y su cargo, por ejemplo, que pueden obtenerse fácilmente en las redes sociales), con el fin de dar mayor credibilidad al mensaje.

Whaling

Se trata de un tipo de phishing más elaborado, dirigido a personas de alto perfil, como ejecutivos o responsables de la toma de decisiones en las empresas. Este tipo de emails falsos intentan hablar de asuntos legales o ejecutivos críticos, exigiendo una respuesta inmediata.

Algunos ejemplos son los mensajes sobre impuestos atrasados, ingresos federales, notificaciones extrajudiciales, entre otros.

Scam

Este falso correo electrónico tiene como objetivo estafar a los destinatarios convenciéndoles de que envíen dinero o accedan a enlaces que conducen a falsas ofertas. Normalmente, tras un primer acercamiento, cuando el destinatario responde, el estafador empieza a hablar de oportunidades y pide dinero para iniciar algún proceso o procedimiento que generará una gran suma de dinero como recompensa.

Malware

Si vamos a hablar de un tipo de email falso que es extremadamente dañino, aquí está: estos emails implican el envío de mensajes masivos con enlaces que, una vez pinchados, instalan software malicioso que puede, entre otras cosas:

  • registrar, a través de un keylogger, todas las pulsaciones de teclas realizadas con el fin de robar información confidencial (como contraseñas de correo electrónico, contraseñas bancarias, etc.);
  • instalación de ransomware, que es un tipo de software que cifra los archivos del dispositivo del destinatario (PC, portátil, smartphone, tableta, etc.) y exige un rescate por su liberación.

SPAM

Quizás el tipo menos dañino de email falso, los emails falsos implican el envío masivo de mensajes no solicitados, normalmente con fines publicitarios, a destinatarios que no han pedido recibirlos.

Sin embargo, hay casos de spam que contienen malware o técnicas de phishing. Mantenerse alerta es esencial.

Cada tipo de email falso tiene sus propias características y métodos, pero todos comparten el objetivo de engañar al destinatario.

¿Son falsos los correos electrónicos desechables?

Por regla general, los emails desechables (o temporales) no son emails falsos, ya que su finalidad principal es ofrecer al usuario la posibilidad de disponer de una cuenta de correo electrónico durante un breve periodo de tiempo antes de ser descartada o eliminada.

Entre los objetivos de este tipo de correo electrónico figuran:

  • Temporales: están configurados para existir sólo durante un periodo de tiempo
  • Anónima: no sabes quién es la persona que hay detrás de esa dirección de correo electrónico, y no requiere ninguna información personal para crearla.
  • Convenientes: pueden crearse rápidamente para su uso inmediato y puntual

Los usos más comunes son:

  • Servicios de pruebas: utilizados para darse de alta en foros online o entornos donde la dirección de correo electrónico queda expuesta;
  • Prevención del spam: utilizados una sola vez, eluden los procesos tradicionales de verificación del correo electrónico e impiden el envío de futuros mensajes.

SIN EMBARGO, este tipo de correo electrónico puede representar un peligro y un canal para abusos, como:

  • Potencial de abuso: pueden usarse de forma inadecuada para saltarse los controles de seguridad, darse de alta repetidamente en servicios con ofertas limitadas a nuevos usuarios o enviar mensajes anónimos que podrían ser maliciosos
  • Fraude: el uso de un correo electrónico falso en un sitio de comercio electrónico, junto con una tarjeta de crédito falsa, hace que las compras fraudulentas sean difíciles o imposibles de rastrear.

Consejo para las empresas que quieren evitar las inscripciones por correo electrónico desechables

Si quiere evitar emails desechables, emails temporales o emails falsos al registrarse en páginas de aterrizaje, sitios web, etc., utilice la API de verificación de email en tiempo real de SafetyMails.

Abra ahora una cuenta gratuita y pruebe las funciones!

Evitar bounces

Cargue y verifique más de 2 millones de direcciones de correo electrónico a la vez: Si maneja grandes listas de correo electrónico,
es extremadamente importante comprobarlas con frecuencia.

Regístrese de forma gratuita

Daños causados por correos electrónicos falsos a las empresas

Además del daño que los emails falsos causan a los particulares, las empresas también sufren las acciones de este tipo de mensajes maliciosos, a muchos niveles.

Empezando por las pérdidas económicas, los empleados poco atentos pueden acabar pagando facturas ilegítimas, como en el caso que se muestra a continuación, en el que un estafador intenta hacerse pasar por registro.br:

El remitente del correo electrónico está claramente intentando hacerse pasar por registro.br y exigiendo una cuota anual por un dominio de Internet.

Puntos a tener en cuenta

  • el diseño del correo electrónico no es claramente de registro.br
  • el importe de la supuesta factura es muy superior a lo que se paga normalmente
  • la fecha de vencimiento es el mismo día en que se envió el correo electrónico (requiere pago urgente)
  • el remitente no tiene ninguna posibilidad de ser real

El segundo daño está directamente relacionado con la reputación de la empresa. Un email falso puede provocar el robo de datos personales y de datos personales sensibles, el cifrado de bases de datos, etc., lo que conlleva pérdidas económicas, la denuncia del incidente de protección de datos a la Autoridad Nacional de Protección de Datos, así como tener que dar publicidad al incidente.

De este modo, la credibilidad de la empresa se tambalea, erosionando la relación con los clientes actuales y provocando obstáculos en la relación y el análisis del cumplimiento de los nuevos clientes. Es extremadamente costoso recuperarse de este tipo de daños.

Dependiendo de la magnitud del problema, esto podría implicar incluso fuertes multas de los organismos reguladores, así como posibles costes legales.

The third problem can be considered a mixture of the first two, as it involves the interruption of operations. When a fake email results in a successful attack, it can compromise vital systems, which will need to be shut down to mitigate problems. This potential business interruption can lead to financial losses and damage to customer relations, as well as requiring additional operating costs.

Por esta razón, es extremadamente importante que las empresas trabajen constantemente en la madurez de sus políticas y acciones de protección de datos y privacidad, con la adopción de software, tecnologías y prácticas de protección, mapeo de sus proveedores, formación constante de sus equipos en términos de concienciación y prácticas seguras (como la política de escritorio limpio, por ejemplo, acceso con niveles separados, control de dispositivos móviles, redes protegidas, etc.).

Emails falsos y elecciones: una amenaza para las democracias

Durante las elecciones, la integridad y la transparencia del proceso son esenciales. Al fin y al cabo, estamos hablando del futuro de una nación.

Cuando la sociedad habla de "fake news" (noticias falsas), suele asociarse estrechamente en la mente de las personas con las redes sociales y las aplicaciones de mensajería como Whatsapp y Telegram. Sin embargo, los SMS, el correo electrónico e incluso el buzoneo son canales a través de los cuales se pueden llevar a cabo este tipo de prácticas.

En la esfera digital, los emails falsos pueden ser una herramienta altamente destructiva en materia electoral. Es una forma de distribuir información falsa de forma incontrolada a un grupo objetivo muy específico, ya que no solo es posible saber a quién va dirigido, sino también controlar el comportamiento de cada persona en relación con este contenido.

Entre los perjuicios de los emails falsos en los procesos electorales, podemos mencionar:

  • Difusión de desinformación: los políticos o candidatos malintencionados y sus asesores pueden difundir información falsa sobre los oponentes, desde acusaciones falsas hasta resultados sesgados de las encuestas electorales, información incorrecta sobre los colegios electorales, etc.
  • Manipulación de la opinión pública: el envío de este tipo de emails falsos con información despectiva o falsa sobre personas o encuestas electorales, difundiendo teorías conspirativas, puede influir en los destinatarios para que alteren su percepción sobre sus candidatos, provocando un cambio en la intención de voto e incluso desacreditando el proceso electoral en su conjunto.
  • Manipulación de la opinión pública: el envío de este tipo de emails falsos con información despectiva o falsa sobre personas o encuestas electorales, difundiendo teorías conspirativas, puede influir en los destinatarios para que alteren su percepción sobre sus candidatos, provocando un cambio en la intención de voto e incluso desacreditando el proceso electoral en su conjunto.

Lucha contra el Email falso: tecnologías emergentes

Obviamente, el mercado no está haciendo la vista gorda ante todo este escenario amenazador. Más bien al contrario. El email falso es un fenómeno que se vigila de cerca desde hace décadas y se han adoptado numerosas medidas de seguridad.

Veamos algunas de ellas:

  • Sistemas de autenticación robustos: DMARC, DKIM y SPF, que son protocolos de seguridad del correo electrónico que ayudan a verificar que los remitentes son quienes dicen ser y garantizan que los correos electrónicos no han sido alterados en tránsito;
  • Filtros avanzados de correo electrónico: hay filtros basados en el análisis contextual, que analizan quién envía, cuándo, cómo y con qué frecuencia, y cuál es el comportamiento del destinatario con estos correos. Además, hay filtros basados en el comportamiento, que rastrean las acciones del destinatario (como reportar un correo como spam o borrarlo sin leer), ayudando al algoritmo del proveedor a mejorar sus protecciones contra el phishing;
  • Inteligencia artificial: sistemas que empiezan a ser capaces de crear algoritmos avanzados de investigación de emails falsos que analizan el texto de los correos en busca de señales como una urgencia exagerada, errores gramaticales típicos y otros indicadores de fraude;

Medidas clave contra los emails falsos: formación e información

Las tecnologías están ahí para facilitar la vida de las personas, eso es un hecho. Pero no pueden hacer todo el trabajo. La inteligencia humana debe ser el factor más importante en el proceso de toma de decisiones.

Por eso la educación digital es una poderosa herramienta de defensa contra el creciente número de emails falsos.

En las escuelas

Desde una edad temprana, los alumnos se introducen en un universo que ahora es básicamente digital: teléfonos inteligentes, redes sociales, compras en línea, tarjetas digitales, pagos de proximidad.

Hay que educarles desde pequeños en la seguridad en Internet. Y no se trata solo de hablar de los populares antivirus, sino también de tener cuidado al registrarse y utilizar contraseñas, usar sus huellas dactilares, tener cuidado al acceder a determinados tipos de sitios web, etc.

En este caso, es aún más importante hacer hincapié en la seguridad contra los emails falsos, ya que los jóvenes están tan conectados a las redes sociales que acaban imaginando que el correo electrónico es una tecnología obsoleta, cuando es extremadamente útil y demandada, especialmente en la vida como consumidor activo y en la vida profesional adulta.

En las empresas

Desde el momento de su contratación, los empleados deben ser instruidos e introducidos en la realidad de la privacidad y la protección de datos, también en lo que respecta al uso de sus cuentas de correo electrónico, ya sean profesionales o personales, protegiendo la infraestructura de la empresa contra los emails falsos y los daños que causan.

Crear una cultura de la seguridad:

Instalar antimalware: en todos los activos de la empresa

Talleres y webinars: podrían existir entornos de e-learning con los contenidos más básicos sobre seguridad de la información y políticas de empresa, seguidos de formación presencial o a distancia recurrente para todos los miembros del equipo con periodicidad anual a modo de refresco;

Adopción de políticas claras de privacidad, protección de datos y seguridad de la información: documentos oficiales que contienen todas las directrices de la empresa para evitar problemas y establecer parámetros sobre lo que debe hacerse en caso de dudas o incidentes, con el conocimiento de todos los empleados;

Lista de comprobación contra el correo electrónico falso

Pensando en la practicidad de tu día a día, hemos elaborado esta breve lista de comprobación para que la utilices siempre que lo consideres necesario. Utilízala en tus conferencias, formaciones y donde quieras.

Puntuación de advertencia: 0
Sobre el remitente
¿Se sabe?
Si no es así, investigue
Contenido
¿Algún error gramatical?
En caso afirmativo, tenga cuidado
¿Tiene un sentido exacerbado de la urgencia?
En caso afirmativo, tenga cuidado
Cuando pasas el mouse por encima de los enlaces, ¿te parecen extraños?
En caso afirmativo, tenga cuidado
¿El dominio que aparece en los enlaces es diferente al del remitente?
En caso afirmativo, tenga cuidado
Archivos adjuntos
¿El correo electrónico contiene archivos adjuntos?
En caso afirmativo, ¡asegúrese de que el remitente es conocido!
¿Se solicitó el archivo adjunto al correo electrónico?
Si no, no abra el archivo adjunto
Seguridad
¿Tiene instalado un antimalware (antivirus)?
Si no es así, evite abrir archivos adjuntos
¿Ha comprobado SPF, DKIM y DMARC?
Si no es así, compruebe si aún tiene dudas sobre el remitente
Después de todo esto, ¿sigue teniendo dudas?
Si es así, intenta utilizar medios alternativos de confirmación, como un mensaje de whatsapp o una llamada telefónica (si le conoces).
Puntuación de advertencia: 0

Utilizando tecnologías como antispam, mejores prácticas, inteligencia artificial, formación de usuarios y educación digital continua para las personas, enseñando sobre el correo electrónico falso y promoviendo mejores políticas para proteger la información personal y empresarial.