Cómo detectar e-mails fraudulentos

Cada día recibimos numerosos correos electrónicos, siendo una parte importante de los mismos correos no deseados, los conocidos como spam, cuando no intentos de fraude. Siendo el e-mail una herramienta de comunicación empresarial y personal casi imprescindible, dado que aporta grandes beneficios para el desarrollo de las actividades diarias por su disponibilidad y rapidez o por la mera posibilidad de realizar envíos a varios destinatarios, incluyendo documentos u otro tipo de información adjunta, no puede prescindirse de su uso, por lo que conviene conocer los riesgos que conlleva y reducir los mismos en el día a día.

En un correo malicioso tanto el remitente como el asunto, el cuerpo, los adjuntos o los enlaces que contiene pueden estar diseñados para engañarnos. Por esto es importante estar atentos a ellos, utilizar el sentido común y analizarlos de forma crítica para evitar caer en su trampa.

Existen múltiples tipos de engaños vía correo electrónico. Cada vez están mejor diseñados y dirigidos a personas en concreto o simulan ser cuentas legítimas con imágenes y mensajes cada vez más convincentes. Su objetivo es hacerse con información relevante de la empresa, bien mediante la obtención de credenciales y claves o mediante adjuntos maliciosos que la robarán.

En este artículo te queremos mostrar las principales claves para que puedas reconocerlos los e-mails problemáticos y no caer en la trampa:

Mucho cuidado con los remitentes desconocidos

Comprobar el remitente real de cada correo sospechoso puede ser suficiente para detectar si la comunicación es fraudulenta. Los ciberdelincuentes utilizan cuentas de correo que no tienen nada que ver con la entidad a la que supuestamente representan o han sido hackeadas a otros usuarios para el envío de correos fraudulentos.

Por este motivo es muy importante revisar la dirección del e-mail y comprobar si es totalmente correcta, ya que son frecuentes las suplantaciones mediante el cambio de alguna letra o utilizando alguna similar o que pueda visualizarse de forma similar. A esta práctica de registrar un determinado nombre de dominio que simula a uno legítimo, para posteriormente traficar con él o hacer uso con fines fraudulentos se la denomina cybersquatting o apropiación de nombres de dominio.

También puede ser sospechoso que un remitente desconocido, en una primera consulta, adjunte al correo algún tipo de archivo. Puede ser un adjunto malicioso.

Remitentes falseados

Existe una técnica conocida como spoofing que basa su funcionamiento en falsificar la dirección del remitente haciendo que, a simple vista, no parezca como un correo fraudulento. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware, llevar a cabo ataques de phishing y suplantar la identidad de personas relacionadas con la empresa como empleados, clientes o proveedores.

Para poder identificarlos, será necesario analizar las cabeceras de los correos, las cuales nos permiten identificar datos como:

  • la información relativa al emisor y al receptor,
  • los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
  • el cliente de correo que se utilizó para enviarlo, y
  • la fecha de envío y recepción del email.

Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics. Al final de este artículo poder ver como hacerlo para los clientes de correo más habituales (Outlook, Gmail, etc.).

En esta imagen puede verse como aparecería una suplantación de una identidad para enviar un e-mail, pareciendo que procede de una cuenta (en este caso, de Consulting-Pro), cuando en realidad provendría de otro dominio (@acuren.com), el cual habría sido hackeada para ello.

Adjuntos maliciosos

Cualquier documento adjunto a un correo electrónico, que no proceda de un emisor conocido debería ponernos alerta. Incluso en muchos casos, salvo que hayamos autorizado ese tipo de envíos, generalmente el emisor no suele enviar documentos adjuntos y remite a descargarlos desde su página web o desde alguna aplicación oficial.

Hay que tener especial cuidado con archivos cuyas extensiones sean .exe, docm, .xlsm o .pptm, así como con los .zip o .rar, ya que, al tratarse de documentos comprimidos, pueden contener en su interior archivos maliciosos. En caso de duda, antes de descargarlos hay que seguir una serie de recomendaciones:

  • ¿Reconoces el nombre del archivo? Los adjuntos de un mensaje malicioso suelen tener un nombre de fichero que nos mueve a descargarlos, por ser habitual (como factura, pedido o presupuesto) o porque creemos que tiene un contenido atractivo.
  • ¿Ese icono es el que corresponde al archivo? Suelen ocultar un fichero ejecutable bajo iconos de aplicaciones comunes como (Word, PDF, Excel, etc.).
  • Esa extensión, ¿es la verdadera? Podrían esconder la extensión real del archivo:
    • poniendo una extensión familiar seguida de muchos espacios para que no veamos la extensión real (del ejecutable) en nuestro explorador de ficheros (por ejemplo listadodefacturas.pdf .exe)
    • insertando un código tipo RLM, el cual sirve para engañarnos, ya que permite invertir el orden de los caracteres en una parte del nombre del archivo. Así, por ejemplo, «presupuesto[U+202E]cod.exe» se mostrará en Windows como «presupuestoexe.doc».
  • ¿Es un documento de Office que nos pide habilitar las macros (utilizadas para automatizar tareas) que podrían descargar y ejecutar ficheros? Como lo general es que estén deshabilitadas por defecto, habrá que sospechar de los archivos que nos pidan habilitarlas.
  • ¿Es un archivo ejecutable o no reconoces la extensión? Cuidado con ellos. No sólo los .exe o los .zip son ejecutables, sino que existen docenas de extensiones ejecutables, las cuales pueden encubrir que en nuestro ordenador se descargue y ejecute un software malicioso.

Y si aun así no tenemos claro si el documento es legítimo o no, lo mejor es no abrirlo, y contactar antes con el remitente a través de otro canal, como por ejemplo el teléfono.

El asunto y la ingeniería social como gancho

El asunto suele ser el primer gancho o reclamo, junto con el remitente, para engañarnos. Si han podido espiar con antelación nuestro correo, con quién nos escribimos, qué tipo de mensajes recibimos, etc., sabrán qué asunto poner e incluso cuándo esperamos recibir ese tipo de mensajes. Por ejemplo «Envío factura mes de noviembre».

También habrá que tener cuidado con aquellos correos que instan al receptor de los mismos a que realice con urgencia una acción determinada. En particular debemos sospechar de aquellos que nos instan a aprovechar una oferta y para ello debemos hacer clic en un enlace o nos piden información confidencial, como claves o contraseñas.

Esta y otras técnicas de la denominada ingeniería social están destinadas a manipular a sus víctimas para que caigan en las trampas diseñadas por los ciberdelincuentes, como puede ser el phishing o la descarga de adjuntos maliciosos.

Las comunicaciones impersonales y la mala redacción

Lo habitual en este tipo de correos fraudulentos es que las comunicaciones sean bastante impersonales, es decir, que comienzan dirigidos de forma genérica, como por ejemplo “Estimado usuario, cliente, amigo, etc.”

Por otro lado, si en un e-mail existen faltas graves de ortografía, se utiliza un vocabulario no utilizado en España o presenta una redacción carente de sentido, deberán ser suficientes señales para sospechar que se trata de un correo fraudulento.

Tampoco debe olvidarse la importancia de las firmas que pueden acompañar los correos. Si lo habitual es que un correo venga firmado de una manera determinada, la ausencia de firma o cambios en la misma tienen que hacernos sospechar.

Enlaces fraudulentos y falsos

Los enlaces maliciosos son habituales en los fraudes tipo phishing, donde el objetivo es redirigir al destinatario a un sitio web fraudulento, que suplanta a una entidad reconocida (los bancos son los más comunes), para capturar sus credenciales.

Para evitarlo, antes de hacer clic en ningún enlace sospechoso hay que revisar la URL, es decir la expresión que se abriría en la barra del navegador al hacer clic (del tipo http://www.paginadelaempresa.com/…). Para ello nos situaremos sobre el texto del enlace, generalmente en azul y subrayado y el cliente de correo nos mostrará la URL. La URL debe ser la que esperamos, es decir si el mensaje es de una empresa conocida, debe ser la URL de esa empresa.

Para identificar enlaces sospechosos nos fijaremos en que:

  • pueden tener letras o caracteres de más o de menos y pasarnos desapercibidas,
  • podrían estar utilizando homógrafos, es decir caracteres que se parecen en determinadas tipografías (1 y l, O y 0),

¿Qué medidas podemos tomar?

El Instituto Nacional de Ciberseguridad (INCIBE) en su blog nos ofrece una serie de medidas a tomar en caso de dudar sobre la seguridad de un e-mail recibido:

  • Si dudamos del remitente:
    • Comprobar de quién es ese dominio (lo que va detrás de la @) en Whois. También se puede comprobar si esa URL aloja algún malware utilizando el servicio gratuito de análisis de URL de Virustotal.
    • En caso de que el correo electrónico no sea visible, analizaremos los detalles de la cabecera del mensaje (aquí puedes ver cómo ver las cabeceras en distintos clientes de correo y cómo entenderlas) para comprobar la dirección de correo del remitente, aunque este dato no es del todo fiable, pues podrían estar suplantándolo.
  • Para los adjuntos:
    • Tendremos habilitada la opción que permite mostrar la extensión de los archivos en el sistema operativo.
    • Si dudamos de un archivo que hemos descargado podemos comprobar, antes de ejecutarlo, si contiene malware en la web de Virustotal.
    • Deshabilitaremos las macros en Microsoft Office. Esta es la forma de hacerlo  en Mac OSx y en Windows.
    • Para impedir la ejecución de archivos ejecutables a los usuarios, se pueden utilizar aplicaciones de lista blanca como AppLocker.
  • Y para los enlaces:
    • Ante la mínima sospecha copiaremos el link y lo analizaremos en Virustotal o en otra página similar.
    • Los enlaces acortados pueden esconder sorpresas desagradables  pues a priori no podemos saber dónde nos llevarán. Una opción es copiarlos en http://unshorten.it/ para extenderlos antes de hacer clic en ellos.

Por otra parte, nunca está de más:

  • tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados;
  • instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;

Además, en el siguiente video señala otras buenas prácticas para realizar un uso seguro y responsable del correo electrónico.

Últimas noticias