Las diferentes caras de las amenazas de correo electrónico

Jamie Long
15 min de lectura
Las-diferentes-caras-de-las-amenazas-de-correo-electrónico

Las estafas por correo electrónico vienen en todas las formas y tamaños. Algunas son tan obvias que resultan risibles: no se ha hecho ningún esfuerzo para disfrazar una estafa.

Pero no pienses que todas son así. Las estafas por correo electrónico solo parecen volverse más astutas y creativas. Este es el tipo que incluso el gen-zer más experto en computadoras, que creció durmiendo con un iPad, miraría dos veces antes de darse cuenta. Donde, si no fueran tan malvadas, incluso podrías dar un paso atrás y admirar el enfoque. Te mostraremos cómo reconocer el phishing y otras estafas comunes por correo electrónico y protegerte contra ellas.

Un rápido vistazo al pasado

Muchos de nosotros recordamos los primeros días de las estafas por correo electrónico: días de inocencia cuando éramos más ingenuos, pero también menos confiados en los correos electrónicos. Cuando recibíamos una estafa, la leíamos con interés confundido, tratando de entender por qué el remitente pensaría que nosotros éramos la persona adecuada para acudir en busca de ayuda. 

¿Quién recuerda El Prisionero Español? Un alma desafortunada de gran riqueza, que necesitaba desesperadamente que le ayudáramos a pagar su rescate para poder ser liberado de la prisión. Curiosamente, esta estafa en realidad precede al correo electrónico, originándose a principios del siglo XIX. Evidentemente, algún intrépido navegante de Internet decidió digitalizarla.

Hoy en día, las estafas por correo electrónico aprovechan mucho más las fortalezas de su formato digital. A diferencia de algunas de las estafas OG, utilizan ventajas que Internet ha llegado a ofrecer a lo largo de los años, como la capacidad de procesar pagos en línea fácilmente, una mayor dependencia del correo electrónico para nuestras comunicaciones más importantes y la evolución de las redes sociales, por nombrar solo algunas.

Pistas de una estafa, desde el principio

Clues of a scam, right off the bat

Antes de que echemos un vistazo más de cerca a los diferentes tipos de estafas por correo electrónico, vamos a compartir algunas reglas generales que puedes emplear para ayudarte a identificar una estafa/spam por correo electrónico, ya que todas comparten elementos comunes: un remitente, una línea de asunto, texto del cuerpo, y quizás lo más importante, la necesidad de ser leídas y creídas.

Nombre de la empresa/remitente

Presta atención a:

  1. Errores tipográficos o estilización incorrecta — Paypal vs. PayPal. 
  2. Algo que se siente demasiado descriptivo o improbable — Emergencia de Auto AA vs. AA.
  3. Compañías con las que no compras/tratas — Una nota de Barclays cuando bancas con Lloyds.
  4. Cualquier cosa que parezca extraña — Desde símbolos y compañías con nombres extraños, hasta espaciados extraños — a veces hay algo que simplemente se siente mal sobre el remitente.

Dirección de correo electrónico del remitente

Presta atención a:

  1. Una dirección de correo electrónico incongruente — Algo que está en desacuerdo con el nombre de la empresa.
  2. Parecidos — Una dirección diseñada para parecerse a la empresa real. Esto podría ser el dominio (@paypalcare.com) o el TLD (@paypal.club). 
  3. Errores — Errores tipográficos u otras irregularidades en la dirección.

Líneas de asunto

Presta atención a:

  1. Frases diseñadas para provocar urgencia — ‘Advertencia: Aviso de pago final’.
  2. Lenguaje que promete demasiado — ‘Gana £1000 en cinco minutos’.
  3. Lenguaje que provoca una fuerte reacción emocional — ‘¡Estás contratado! ¡Empieza mañana!’
  4. Errores tipográficos — Los estafadores no son conocidos por su buena gramática.
  5. Uso excesivo de puntuación o emojis — Pocas empresas reales los utilizan.
  6. La presencia de ‘Re’ — Podría usarse para sugerir que has respondido antes cuando no lo has hecho.
  7. Botones y archivos adjuntos — Siempre evita hacer clic en botones o descargar archivos adjuntos en correos electrónicos sospechosos.

Texto del cuerpo

Presta atención a:

  1. Promesas increíbles — Similar a la versión de la línea de asunto, pero hay espacio para expandirse en el texto del cuerpo, lo que da la oportunidad de hacer que las mentiras sean más convincentes.
  2. Llamadas a la acción que buscan información personal — Especialmente dirección o detalles de la tarjeta.
  3. Referencias a algo que no recuerdas — Desde eventos hasta servicios que nunca recibiste
  4. Suplantación — Alguien que afirma ser un amigo o pariente, pero no suena como ellos mismos.

Ahora que tienes algo de contexto sobre cómo los estafadores pueden manipular diferentes partes de un correo electrónico, examinemos ejemplos específicos. 

Malware

Malware

Para muchos, los ataques de malware son probablemente el primer tipo de correo electrónico malicioso que realmente temíamos. En aquel entonces, probablemente solo nos referíamos a ellos como virus de correo electrónico. Ábrelo, tu pantalla se pone negra. Juego terminado. Ese tipo de cosas.

En realidad, el malware cubre una amplia variedad de ataques maliciosos — y algunos de ellos son, francamente, un poco más aterradores que la rápida muerte de una computadora. 

¿Monitoreando pulsaciones de teclas? ¿Drenando tu CPU sin tu conocimiento? ¿Espiándote? ¿Forzando la aparición de anuncios sospechosos cada cinco minutos? Sí, el malware cubre una amplia variedad de pequeños programas que se incrustan en tu computadora sin tu conocimiento, y sus funciones van desde cosas asociadas con bromistas nefastos hasta criminales de pleno derecho. Son evasivos y a menudo difíciles de eliminar — eso si sabes que están ahí.

Cómo detectar malware

Si estás experimentando alguno de los síntomas mencionados anteriormente, hay una buena probabilidad de que sea malware. Esto puede haber venido de un correo electrónico — pero no necesariamente. Hay otras formas en que estos programas pueden incrustarse en tu computadora también — descargas, sitios web sospechosos e incluso dispositivos de hardware maliciosos. Si alguna vez encuentras una memoria USB en la calle, no veas qué hay en ella.

Protégete del malware

A riesgo de decir lo obvio, prueba el software de detección de malware. Pero elige algo de buena reputación

Si buscas en Google cómo prevenir el malware desde el principio, el mejor consejo es instalar software antivirus. Personalmente, no conozco a nadie que haya hecho esto desde finales de la década de 2010, pero ¿quién soy yo para contradecir la totalidad del conocimiento humano y la experiencia masiva homogeneizada en una respuesta de una línea de Gemini, servida en una fracción de fracción de segundo?

Dicho esto, la protección contra amenazas que ofrecen los sistemas operativos es generalmente mejor de lo que era en los primeros días, especialmente Windows se actualiza para proteger contra amenazas, pero más importante aún, mucho software de correo electrónico está haciendo el trabajo por nosotros, filtrando correos electrónicos sospechosos antes de que nos lleguen. 

Es una buena idea encontrar un proveedor de correo electrónico que promueva una buena protección contra el malware y escanee tus correos electrónicos antes de que te lleguen. Esto es particularmente bueno cuando se trata de evitar ataques psicológicos (y llegaremos a esos en un momento).

Si hablamos de protección, en lugar de prevención, es una buena idea mantener copias de seguridad regulares, en caso de que seas víctima de uno de estos ataques. Personalmente, recomiendo algo como Mega Sync, que se actualiza cada vez que guardas un archivo.

Phishing

Phishing

Hoy en día, es probable que te encuentres con una estafa de phishing por correo electrónico. ¿Por qué? Porque, como una melodía pegajosa o el olor de la primavera, todos somos susceptibles a sus encantos. Pero, ¿cómo puedes identificar el phishing?

Los ataques de phishing son efectivos debido a su versatilidad. A veces no es difícil detectar el phishing. Pueden ser cualquier cosa: literalmente cualquier cosa que haga que alguien ingrese sus datos personales. Piensa en cualquier razón por la que podrías sentirte obligado a compartir tus datos personales o enviar dinero a alguien, y tiene el potencial de convertirse en un correo electrónico de phishing.

Aquí hay solo algunos ejemplos, y ten en cuenta que la clave del phishing es que todos estos correos electrónicos parecen reales, pero son falsos:

  1. Notificación de restablecimiento de contraseña.
  2. Completa los detalles bancarios faltantes.
  3. Completa tu dirección postal para habilitar la entrega.
  4. Renueva tu suscripción.
  5. ¡Eres un ganador de un concurso!
  6. Un amigo en apuros pidiendo ayuda.
  7. Notificación de reembolso de impuestos.
  8. Solicitando donaciones caritativas.

Si no has visto una estafa de phishing, ¿eres siquiera un pez? Son tan ubicuas que es difícil imaginar el correo electrónico sin ellas. Pero hay más de una forma de hacer phishing…

Spear phishing y whaling

Spear phishing y whaling apuntan a individuos específicos, a menudo con tácticas más agresivas.

El spear phishing utiliza conocimiento personal, generalmente obtenido de varias fuentes, para crear correos electrónicos más convincentes. Debido a que está escrito usando información personal, podría referirse a amigos reales, situaciones o incluso hacerse pasar por un banco (etc.) de manera más convincente. Si piensas que esto es poco probable que te suceda, ten en cuenta que la mayoría de las personas tienen más información accesible públicamente en línea de lo que se dan cuenta.

Si alguien se hace pasar por tu amigo y hace referencia a un evento muy específico al que ambos asistieron hace una década, ¿por qué no lo creerías? Podría llevar un tiempo recordar que publicaste sobre ello en detalle en Facebook, y que la publicación es visible públicamente. Cuando te pidan prestado dinero, quizás estarías dispuesto a ayudar. 

Todos somos susceptibles al spear phishing, lo que lo hace más peligroso que las estafas más obvias. Una advertencia afortunada es que el nivel de investigación requerido para llevar a cabo una estafa de spear phishing con éxito es desalentador para la mayoría de los estafadores. Es más fácil apostar por un correo masivo al que menos personas responderán. ¿Pero es ahí donde la IA entrará en el futuro? Necesitamos mantenernos vigilantes.

Whaling

Entonces, ¿qué es el whaling? Bueno, en muchos aspectos, un ataque de whaling es prácticamente lo mismo que el spear phishing, pero se enfoca específicamente en individuos adinerados, como los CEOs. 

La triste realidad es que su estatus los convierte en mejores objetivos para invertir tiempo, y otros factores (como su riqueza, responsabilidad, falta de tiempo y gran base de contactos) significan que hay varias debilidades potenciales para explotar. Por ejemplo, tal vez solo necesiten convencer a un asistente personal o secretario de que tienen la aprobación del CEO. Así que, parece que el whaling comercial siempre es algo malo.

Cómo protegerse contra el spear phishing y el whaling 

Más allá de lo que se enumera en nuestra guía general anterior, también deberías configurar un filtrado de spam fuerte. El factor humano es realmente donde brillan los correos electrónicos de phishing. Si el malware es un truco simple, entonces en algún nivel, el phishing requiere que seamos cómplices. Después de todo, debemos entregar nuestra información. Como hemos discutido, lo hace apelando a nuestra respuesta emocional.

Por lo tanto, asegurarnos de que nunca entremos en contacto con él en primer lugar es la forma más fuerte de combatirlo. Los filtros de spam buscan múltiples elementos al considerar un correo electrónico que nosotros, como humanos, no podemos. Cruzan referencias con listas negras, patrones de comportamiento conocidos e incluso un método conocido como filtrado bayesiano. Esto compara el contenido de un correo electrónico con correos electrónicos conocidos de spam vs. legítimos para calcular la probabilidad de que sea spam. Además, los buenos filtros de spam tendrán en cuenta lo que otros usuarios marcan como spam, creando lo que se conoce como un bucle de retroalimentación del usuario.

Correo electrónico empresarial comprometido

The different faces of email threats

Ligeramente diferente de todo lo que hemos visto hasta ahora, esto viene desde el ángulo opuesto: la idea de que una cuenta de correo electrónico legítima ha sido comprometida. No tiene que ser una cuenta empresarial, pero para el propósito de esta entrada, hay algunos factores más interesantes de los que hablar si imaginamos que lo es.

Si un estafador puede obtener acceso ilegalmente a una cuenta de correo electrónico empresarial, puede hacerse pasar por trabajadores para solicitar fondos, o incluso acceso a otros sistemas internos que pueden incluir datos sensibles.

Comprometer una cuenta empresarial también se aprovecha de otra peculiaridad social inherente en muchas empresas, particularmente las más grandes: es poco probable que cada miembro del personal conozca a todos los demás. Esto, combinado con el hecho de que se espera que las personas sean educadas dentro de un entorno laboral, significa que estos correos electrónicos tienen ventajas adicionales en comparación con las cuentas privadas.

Cómo protegerse contra esto

Asegurarse de que todos los empleados usen autenticación de dos factores (2FA) y elijan contraseñas fuertes disminuye en gran medida el riesgo de cuentas robadas/hackeadas. 2FA asegura que el titular de la cuenta siempre sabrá si alguien intenta entrar, y una contraseña fuerte hace que los ataques de fuerza bruta sean más difíciles. 

También puedes disminuir la probabilidad de problemas futuros desactivando inmediatamente las cuentas de los empleados que dejan la empresa. Un cementerio de cuentas en desuso acumulando polvo es solo un accidente esperando a suceder.

Facturas falsas 

Uno de los temas que podrías estar notando es la explotación de diferentes extremidades emocionales. Hasta ahora hemos considerado el miedo o la negligencia de un CEO y la supuesta apatía de un empleado hacia otro. Ahora intentemos con la ira.

Alguien afirma que le debes dinero y exige un reembolso inmediato. Están enojados, dicen cosas que te hacen dudar de tu propio recuerdo, o crean una circunstancia de la que no puedes estar seguro de que no sea real. La vitriola y la ira continúan hasta que casi parece más fácil pagarles.

Esto puede no parecer tan probable para muchos de nosotros, pero tal vez eso sea lo peor de todo: las probabilidades son que 'nosotros' no somos sus objetivos. Su éxito será con los vulnerables. Aquellos que tal vez realmente no pueden recordar, o son más confiados con los extraños. 

Prevención

Si asumimos que nosotros no pagaremos facturas aleatorias que recibimos por correo electrónico, podría valer la pena usar esta oportunidad para sugerir hablar con aquellos en tu vida que tienen menos experiencia en línea. Pregúntales si necesitan ayuda para identificar estafas y explícales que solo porque alguien está exigiendo dinero no hace que su reclamo sea legítimo. Después de todo, necesitamos cuidarnos unos a otros, y nadie quiere ver a alguien caer directamente en una estafa obvia. 

Hay recursos a los que puedes guiar a las personas que pueden llevarlos a través de esto de una manera amigable para el usuario.

Estafas de ofertas de trabajo

5_Job offer scams

A diferencia de algunas de las otras, estas pueden ser difíciles de detectar incluso para los más experimentados de nosotros. Una razón para esto es que no existen en el vacío del correo electrónico. Si cualquiera de nosotros recibiera un correo electrónico de la nada diciendo que habíamos conseguido un trabajo, sabríamos de inmediato que era spam. Pero, ¿y si no fuera así como sucedió?

¿Qué pasa si la estafa comenzó como una oferta real en un sitio de empleo real? Aplicaste para ella junto con un montón de otros trabajos reales, y parecía tan probable como todos los demás. Bueno, entonces este es un correo electrónico que estás esperando — incluso deseando, que llegue. Y, similar al spear phishing, esto crea una oportunidad más elaborada para una estafa. Porque ahora eres un participante dispuesto — al menos, al principio.

¿Pero en qué? Estas estafas pueden tomar muchas formas, pero esencialmente, como los antiguos esquemas piramidales del pasado, piden dinero por adelantado bajo el pretexto de cubrir costos, comprar equipo, o incluso capacitación para el puesto — y nada de eso es real. A veces, incluso podría haber otros en el sistema que creen que es real también y esto puede sugerir legitimidad donde no la hay.

Cómo detectar una estafa de oferta de trabajo

Hay ciertas pistas que puedes buscar cuando estás aplicando para trabajos que podrían indicar que el trabajo no es legítimo:

  1. Salarios poco realistas — Si algo es demasiado bueno para ser verdad, probablemente lo sea.
  2. Trabajos vagos o improbables — ¿Realmente alguien necesitaría o querría que alguien desempeñara este papel?
  3. No se necesitan entrevistas — O una oferta de trabajo ansiosa sin la debida diligencia.
  4. Comunicaciones no profesionales — Pidiendo más datos de los que deberían ser requeridos.
  5. Falta de presencia en línea de la empresa — O una empresa cuyo sitio web parece un poco sospechoso. Imágenes de archivo, reseñas inverosímiles, sin contenido real: ese tipo de cosas.

Igualmente, no querrás eliminar trabajos legítimos solo por un anuncio mal elaborado. Así que lo principal a tener en cuenta es cualquiera que pida dinero antes de que comiences. Hay casi ningún caso en el que un trabajo deba requerir que pagues algo por adelantado, mucho menos realizar cualquier tarea de forma gratuita.

Por muy seguro que estés del proceso hasta ese punto, en el momento en que la conversación se convierte en transferir dinero, ten por seguro: es una estafa.

Estafas de romance

Romance scams

Probablemente la manipulación emocional más fuerte de todas: cómo nos sentimos cuando estamos enamorados. 

Tengo experiencia personal de alguien en una aplicación de citas pidiendo dinero prestado (que es donde este tipo de estafa es más probable que ocurra hoy en día). No es tan raro como podrías pensar, y en algunos casos, podríamos tener dificultades para incluso pensar en ello como una estafa… 

Las líneas se desdibujan rápidamente cuando nuestros corazones comienzan a gobernar nuestras cabezas. Quizás una parte de nosotros incluso piensa "tal vez me están tomando por tonto, pero ¿qué son diez libras cuando se trata de amor?". Pero esa persona podría estar pasando todo el día en la aplicación de citas. Si consiguen que diez personas al día donen diez libras, entonces eso en realidad no es un mal salario. Y ciertamente se clasificaría como una estafa.

Cómo evitar caer enamorarse de una estafa de romance

A riesgo de convertirme en una consejera sentimental, no te dejes llevar por tu corazón. Si tu cabeza dice que es una estafa, probablemente lo sea. Nunca des dinero a alguien que no conoces bien, por mucho que afirmen amarte. Es un hecho triste de la vida que las personas usan los extremos de la emoción para manipular. 

Estafas de premios

La mayoría de nosotros probablemente recuerda haber recibido un volante por correo diciendo que habíamos ganado una lotería y teníamos que llamar a un número para reclamar nuestro premio. Supongo que era inevitable que esto también se convirtiera en un correo electrónico. 

No hay mucho que decir aquí que no se haya dicho en las otras entradas. Quizás simplemente podamos crear un mantra para la vida. Si un correo electrónico dice que ganaste un premio, no ganaste un premio*.

*A menos que hayas ganado un premio. Pero definitivamente no ganaste un premio. Deja de pensar en el premio.

Prevención

Mira, realmente, realmente no ganaste un premio. Compra un boleto de lotería si debes — pero presiona ese botón de spam.

Protegiéndote a ti y a los demás

Protecting yourself and others

En una nota seria, ya sea spam o estafa, realmente no es motivo de risa. La gente realmente se lastima, pierde dinero o se siente estúpida después. 

Hemos sugerido varias formas de protegerte, pero realmente se reduce a tres cosas:

  • Habilita tanta seguridad como puedas

Lo que sea que ofrezca tu proveedor, ya sea 2FA, contraseñas generadas automáticamente o incluso cifrado — lo que sea. Configúralos. Solo hacen que tu cuenta sea un poco más difícil de secuestrar. 

  • Elige un proveedor enfocado en la seguridad

Un proveedor con un software de gestión de spam fuerte y actualizaciones de seguridad frecuentes probablemente sea tu mejor forma de protección continua. La mayoría de las estafas que hemos descrito comienzan y terminan con la gestión de spam. Si nunca las vemos, nunca son un problema. 

  • Mantén el dedo en el pulso

Las estafas de phishing nunca dejan de evolucionar. Te apuntan a ti, no a tu bandeja de entrada, así que tú eres tu mejor defensa.

¿Hay alguna práctica que uses para evitar caer en spam y estafas? ¡Nos encantaría escucharlas! Deja cualquier pensamiento o pregunta en la sección de comentarios a continuación

Compartir:

Califica este artículo

5.0/51 Reseñas
Foto de perfil de Jamie Long

Autor: Jamie Long

Jamie es un escritor y autor con sede en el Reino Unido que ha trabajado para Spaceship desde que comenzó. También es un músico de formación clásica con un gran interés en la comedia y escribe novelas en su tiempo libre.
Más artículos de Jamie Long

Comparte tus pensamientos

Se requieren más de 10 caracteres.
Tu identidad para mostrar al público.
Proporcionar su dirección de correo electrónico es opcional. No se compartirá con terceros.
Tabla de contenidos

Ayúdanos a mejorar nuestro blog

Comparte tus pensamientos en una encuesta rápida de dos minutos.