El correo electrónico ha existido desde hace décadas, pero eso no significa que sea seguro. Las estafas por correo electrónico están entre los tipos más comunes de ciberdelincuencia. De acuerdo con este reporte de TrendMicro en 2021, el 90% de las violaciones de datos en 2021 fueron causadas por un correo de phishing. Esto hace que protegernos y proteger a nuestro negocio de ciberataques sea una prioridad. Entender algunos de los tipos más comunes de estafas por email puede ayudar a que sea más sencillo saber a qué te enfrentas y cómo puedes protegerte.
En este artículo, entonces, revisaremos 5 tipos de ciberataques que se llevan acabo a través de correo electrónico. Esto incluye el phishing, whaling, spear-fishing, spoofing y cuando ha sido comprometido tu correo empresarial . También te daremos consejos sobre cómo puedes protegerte y a tu organización ante este tipo de ataques.
¿Cómo funcionan los ataques de phishing?
El phishing es un tipo común de ciberataque. En intentos de phishing los hackers se mostrarán como una fuente fiable con el fin de engañar a sus víctimas para que envíen dinero o compartan su información personal. Un individuo promedio podría encontrarse con este tipo de correos de phishing en su inbox de correo personal. Por ejemplo, los hackers pueden mostrar que son un e-commerce o una compañía de envíos y pedirte que accedas a tu cuenta o confirmed alguna orden a través de un vínculo que envían a tu correo. Y lo que realmente sucede es que te redireccionará a un sitio web fraudulento, a través del cual los hackers intentarán interceptar tu contraseña o información de pago.
¿Cuál es la diferencia entre phishing y spear-fishing?
Spear-fishing es un tipo de ciberataque que cae bajo el paraguas del phishing, pero funciona de diferentes formas. Mientras que un correo regular de phishing tendrá como objetivo atacar a la mayor cantidad de personas que pueda en un intento, el spear-fishing intenta atacar a personas específicas, usualmente a personas que tienen un roñl particular en una empresa, que podría darle a los hackers acceso a grandes cantidades de información confidencial. Esto usualmente toma lugar en ambientes empresariales. Para poder crear un ataque creíble, los hackers primero obtendrán información sobre su objetivo a través de búsquedas de internet y en redes sociales. Esto hace que los intentos de spear-fishing sean más difíciles de detectar que los emails regulares de phishing.
¿Cuál es la diferencia entre phishing y whaling?
Así como el spear-fishing, el whaling cae bajo el paraguas del phishing en general. El whaling es similar al spear-fishing, en el sentido de que es un tipo de ataque personalizado. Sin embargo, los intentos de whaling son diferentes al phishing porque tienen como objetivo a “peces grandes”: Directivos de empresa, CEOs y oficiales del gobierno. Los intentos de whaling son dirigidos a individuos con mucho poder, por tanto, los hackers utilizarán las técnicas de ingeniería social más avanzadas para poder engañar a sus víctimas.
¿Qué es el spoofing?
El spoofing (falsificación de correo electrónico) puede ser considerado como un “primo” del phishing. Mientras que el phishing usualmente pretende venir de una persona, compañía u organización (ficticia), el spoofing intenta hacerse pasar por alguien que conoces, o con quien trabajas. Por ejemplo, podrían intentar hacerse pasar por un cliente o un manager a quién conoces. O como alguien del departamento de IT, quien “solo” necesita que le envíes unos archivos con información confidencial. Nuevamente, el objetivo aquí es que los hackers obtengan acceso a datos personales sensitivos o información de pago.
¿Cómo se puede comprometer el correo de una empresa?
Cuando un email de empresa se ve comprometido se encuentra ante uno de los tipos de estafas más peligrosos. En este tipo de engaño, los cibercriminales tratarán de obtener acceso a ejecutivos de alto rango para conseguir que les envíen dinero. Podrían hacerse pasar por vendedores, abogados de la compañía, e inclusive el gerente general, quién necesitará urgentemente que le envíen una transferencia de dinero. Ya que este tipo de correos no contienen vínculos maliciosos, ni archivos adjuntos y se enfocan en que el ejecutivo haga las transacciones propuestas, son más difíciles de detectar y atrapar.
¿Cómo reconocer este tipo de estafas por correo electrónico?
Siempre verifica las siguientes señales por si recibes un correo que parece sospechoso:
- Verifica que la dirección de correo del emisor. ¿El correo está siendo enviado de una dirección y dominio reales? Muchas veces esto es obvio de salida, pero, otras veces los estafadores pretenden enviar correos desde un dominio que parece ser el de una compañía de verdad. Sin embargo, siempre habrá algún tipo de error de escritura en el nombre de dominio que te alertará de confiar en dicha comunicación. Un correo electrónico supuestamente enviado por LinkedIn podría ser realmente enviado desde “Linkedln”. Esta pequeña diferencia hace toda la diferencia.
- Verifica el logo de la compañía. Los logos de grandes compañías suelen estar registrados. Los estafadores podrían utilizar logos que se vean ligeramente diferentes del original. Mira bien, ¿hay algo que se vea raro?
- Verifica los vínculos en el correo. Pasa por encima de los vínculos con tu cursor (¡pero no hagas clic!). ¿El vínculo que aparece viene de un sitio en el que se puede confiar o dirige a un sitio desconocido?
- Verifica qué es lo que la compañía te está solicitando exactamente. Las compañías generalmente no te piden que envíes tu contraseña, o información de pagoa través de correo. Si no estás seguro si has recibido un correo fraudulento, contacta a la compañía que lo envía para verificar que es real, pero hazlo por otro medio, como el teléfono o chat.
El correo corporativo, cuando es comprometido, es mucho más difícil de determinar, porque suelen ser correos que vienen de personas de confianza de tu red y no contienen vínculos ni archivos adjuntos. Si recibes un correo inesperado en el que alguien que conoce te pide que transfieras dinero, primero verifica con la persona si el correo electrónico es real o no.
¿Cómo protegerte de las estafas por correo electrónico?
Si has recibido un correo que parece sospechoso de cualquier forma, no hagas clic en los vínculos ni abras los archivos adjuntos. Marca inmediatamente el correo como spam y bórralo. Si trabajas en una corporación, deberías enviar un reporte de potencial ataque al departamento de seguridad informática.
Existen muchas herramientas que se pueden utilizar para ayudar a proteger de estafas a las organizaciones y empresas. SpamExperts es un filtro de spam altamente recomendado. Este escanea y filtra el correo entrante con una precisión de un 99,98%, manteniendo las estafas fuera de tu correo electrónico. Además, EasyDMARC también es una herramienta sumamente útil en lo que respecta a correo electrónico saliente. Protege tu correo, se asegura de que los hackers no puedan obtener acceso y utilizar tu dominio para enviar correos fraudulentos.
Finalmente, si gestionas un pequeño negocio, o eres manager, es importante que te asegures de que todo el mundo en tu equipo conoce la importancia de la seguridad. Enséñale a tus empleados a reconocer correos potencialmente frautulentos, qué hacer en caso de que se produzca una fuga de datos, y facilita un espacio para generar este tipo de conversaciones en tu empresa. Si quieres conocer más sobre este tema, tenemos un artículo sobre cómo construir una cultura amigable con la seguridad en tu empresa, que incluye muchísima información útil.