Nuestro blog

El correo electrónico es la principal herramienta de comunicación entre empresas. Los ciberdelincuentes lo saben muy bien y llevan años explotándolo para colarnos software malicioso por esa vía. De hecho, muchos virus informáticos utilizan el correo electrónico de los ordenadores infectados para enviarse a sí mismos a todos los contactos del usuario y proseguir con la infección.

Los ataques informáticos por correo electrónico se han ido sofisticando con el tiempo, tanto en su forma como en sus objetivos. Hoy la mayoría de los ciberataques tienen un objetivo económico, que puede ser por tres vías:

• Extorsión: Un virus “secuestra” la información del sistema de la empresa y pide un rescate, normalmente en bitcoins, para recuperarlo.
• Robo de datos: En este caso lo que se busca es acceder ilegalmente a los sistemas de la empresa para robar información valiosa, por ejemplo, datos de clientes, cuentas bancarias, etc.
• Robo directo: A veces ni siquiera hay un software malicioso como tal. Los ciberdelincuentes quieren acceder a nuestra cuenta bancaria y robarnos dinero directamente.

“Vale, pero no voy a ser tan tonto como para darle mis claves de acceso a mi banco a nadie”. Obviamente no, pero ¿y si aparentemente es el banco el que te pide que entres en su web y confirmes tus datos y cambies tu contraseña porque tu cuenta ha sido bloqueada por motivos de seguridad? ¿Y si se trata de un correo que aparentemente es de Hacienda, o de la Seguridad Social, en el que te dicen que se ha abierto un procedimiento sancionador contra ti?

Los ciberdelincuentes intentan crear una sensación de pánico en quien recibe el correo, para que reaccione rápido sin pararse a pensar. Pues bien, en esos momentos es cuando más debemos sospechar.

Cómo verificar la autenticidad de un correo electrónico

En primer lugar, recuerda lo que los bancos y prácticamente todo el mundo te repite por activa y por pasiva: nunca, jamás, te van a pedir una contraseña por correo electrónico. Como los ciberdelincuentes tampoco son tontos, ahora ya no te la piden así, usan una técnica denominada “phishing” que consiste en simular un correo electrónico y/o una web de una entidad que te genere confianza, como un banco, Amazon, una compañía de telefonía o una institución oficial. El correo utiliza los logos, tipo de letra y formato de esa entidad o empresa, y muchas veces la web a la que te redirigen con un enlace es un clon de la web de la empresa de la que se trate.

Veamos un ejemplo gráfico de fraude:

Este es un correo fraudulento real que muchas empresas han recibido hace poco. Aparentemente, es un aviso de la Inspección de Trabajo de que has sido denunciado por no respetar la legislación laboral.

Fijémonos, primero, en el remitente: webitss226@itss.es . De entrada, “webitss226” es un usuario extraño para un correo oficial. Pero en este caso, los ciberdelincuentes han sido bastante torpes, porque han utilizado el dominio “itss.es” que ya existe, y es que la web www.itss.es pertenece a una empresa del ámbito ferroviario.

Después hay más pistas: el lenguaje. No se menciona el nombre de la empresa a la que se dirige. El asunto del correo dice “Se inició una investigación contra su empresa” (no dice: “Notificación de inicio de inspección”, por ejemplo. Se usa la expresión “hemos recibido una queja” que es impropia del ámbito administrativo. Y, para colmo, se dice que las sanciones pueden incluir “la suspensión de actividad de su empresa” y, atentos, “una queja con el fiscal local”. ¿Queja con el fiscal local? Eso no existe en el ámbito jurídico español. Uno no presenta “quejas” en la Fiscalía, y desde luego no se refiere a ella como “el fiscal local”. Todo aquí huele a correo elaborado por una persona que no vive en España.

Después nos dicen “programaremos una llamada para seguir discutiendo el asunto”, como si la Administración Pública se dedicara a “discutir asuntos” por teléfono. Cuidado, es posible que los ciberdelincuentes tengan tu teléfono y sí exista una llamada posterior.

Hay que tener claro que ninguna administración del estado envía notificaciones de este estilo por correo electrónico. Las notificaciones oficiales se envían siempre por correo postal certificado y, si has registrado tu correo electrónico como dirección de comunicación de notificaciones, puede llegarte un aviso para que entres en la sede electrónica de Hacienda o la Seguridad Social para abrir allí una notificación, siempre con certificado digital u otra forma fehaciente de identificación, pero nunca una página de acceso directo a través de un enlace.

Por tanto, ya tenemos unas cuantas pistas que nos permiten sospechar que estamos ante un correo falso:

• Dirección del remitente extraña que incluye números y letras o que no se corresponde con ninguna web conocida.
• Lenguaje poco habitual en la empresa o institución que presuntamente remite el correo.
• Ausencia de datos de la persona o empresa que recibe el correo. Cosas como “Estimado cliente de Telefónica” o frases genéricas.
• Avisos catastróficos de cosas como bloqueos de cuentas bancarias, multas, sanciones, etc., y que nos piden que realicemos una acción inmediata.

Otros estilos de correo falso que podemos recibir:

• Avisos de regalos, cupones descuento, premios, etc., sobre todo si vienen de empresas en las que no compramos habitualmente.
• Correos remitidos por alguien que conocemos pero que utilizan un lenguaje extraño o nos ponen simplemente “mira este enlace, no te lo vas a creer” o cosas así. En ese caso es posible que el sistema de esa persona o empresa esté infectado con un virus, por lo que debemos avisarle inmediatamente.
• Correos aparentemente inocentes que tienen un archivo adjunto ejecutable (.exe), un archivo de Excel (.xls o .xlsx), una carpeta comprimida (.zip o .rar) o, en general, archivos que no son texto o imagen. Incluso si vienen de un remitente de confianza, siempre debemos comprobarlo antes de descargar ningún archivo adjunto.

Es vital que tanto empresas de cualquier tamaño como usuarios particulares nos acostumbremos a utilizar protocolos de seguridad con el correo electrónico. Un ejemplo de protocolo básico podría ser el siguiente:

1. Sospechar de cualquier correo no solicitado, aunque venga de una empresa o una persona conocidas.
2. Comprobar siempre la dirección del remitente del correo. Sospechar de cualquier dirección extraña, bien por el nombre de usuario o bien por el dominio. Por ejemplo, si recibo un correo del BBVA y en lugar de provenir de clientes@bbva.es viene de clientesbbvaes@mail.tk o de clientes@bbvaes.ru.
3. Sospechar de cualquier correo que contenga archivos adjuntos.
4. No confiar en que el sistema antivirus detectará cualquier amenaza. Las empresas de ciberseguridad y los ciberdelincuentes están en un permanente juego del ratón y el gato. Aunque un buen antivirus puede detectar la gran mayoría de los virus circulantes, puede no detectar un virus nuevo.
5. Instalar siempre las actualizaciones de seguridad tanto del sistema operativo como de los programas antivirus.
6. En caso de duda, contactar con el remitente y comprobar que efectivamente nos ha enviado ese correo.

A pesar de todas las medidas de seguridad que tomemos, el riesgo cero no existe. No sólo a través del correo electrónico, cualquier dispositivo conectado a internet, incluso un electrodoméstico, es susceptible de ser hackeado y convertirse en una puerta de entrada para los ciberdelincuentes. Por eso siempre recomendamos a cualquier empresa o profesional, independientemente de su tamaño, que se proteja con un seguro de ciberriesgos. En AyF Correduría podemos asesorarte sobre las diferentes opciones, coberturas y servicios que ofertan las compañías aseguradoras y recomendarte la mejor opción para tu caso.