Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Día Mundial del Correo: cómo detectar correos fraudulentos

Fecha de publicación 08/10/2019
Autor
INCIBE (INCIBE)
Día Mundial del Correo: cómo detectar correos fraudulentos

Seguramente somos conscientes del elevado número de correos electrónicos que recibimos o enviamos a diario desde nuestras cuentas, con independencia de que sean de nuestro ámbito profesional o personal. Y también entendemos que no todos los mensajes son relevantes, ya que gran parte de estos correos son no deseados, los conocidos como spam. A pesar de ello, el correo electrónico es una herramienta de comunicación básica e imprescindible que aporta grandes beneficios para el desarrollo de las actividades diarias de cualquier empresa por su disponibilidad, rapidez, accesibilidad o por la mera posibilidad de realizar envíos a varios destinatarios, incluyendo documentos u otro tipo de información adjunta. Por todo esto se convierte en una herramienta esencial. 

Desde el nacimiento de la Unión Postal Universal, en 1874, la ONU celebra cada 9 de octubre el Día Mundial del Correo. En Protege tu Empresa queremos aprovechar esta fecha tan señalada para incidir en la importancia de ser conscientes de los peligros asociados a este tipo de comunicaciones. Existen muchos tipos de engaños vía correo electrónico y se están perfeccionando. Cada vez están mejor diseñados y dirigidos a personas en concreto, simulan cuentas legítimas con imágenes y mensajes cada vez más convincentes. Su objetivo es hacerse con información relevante de la empresa, ya sea a través de la obtención de credenciales o mediante adjuntos maliciosos que la sustraerán. Por este motivo, te queremos mostrar las principales claves para que puedas reconocerlos y no caer en la trampa:

Mucho cuidado con los remitentes desconocidos

El mero hecho de comprobar el remitente de cada correo podría ser suficiente para detectar si la comunicación es fraudulenta. Los ciberdelincuentes utilizan cuentas de correo que no tienen nada que ver con la entidad a la que supuestamente representan o han sido hackeadas a otros usuarios para el envío de correos fraudulentos. 

Por este motivo es muy importante revisar cada carácter de la dirección emisora, ya que son frecuentes suplantaciones mediante el cambio de alguna letra o utilizando alguna similar o que pueda visualizarse de forma similar. 

También puede ser sospechoso que un remitente desconocido, en una primera consulta, adjunte al correo algún tipo de archivo. 

Remitentes falseados

Existe una técnica conocida como spoofing que basa su funcionamiento en falsificar la dirección del remitente haciendo que, a simple vista, no parezca como un correo fraudulento. Para poder identificarlos, será necesario analizar las cabeceras de los correos, como te indicamos en el artículo: ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

No tenemos que olvidar la importancia de las firmas que pueden acompañar los correos. Si estamos familiarizados con que un correo venga firmado de una manera determinada, un cambio en la firma o su ausencia debería hacernos sospechar.

Ingeniería social

Tendremos mucho cuidado con aquellos correos que instan al receptor del mismo a que realice con urgencia o de forma inmediata, una acción determinada. Esta y otras técnicas de ingeniería social están destinadas a manipular a las víctimas para que caigan en las trampas diseñadas por los ciberdelincuentes, como puede ser el phishing o la descarga de adjuntos maliciosos.

Las comunicaciones impersonales

Es muy común la recepción de correos fraudulentos que realizan comunicaciones impersonales, que comienzan dirigidos de forma genérica, como por ejemplo "Estimado usuario, cliente, etc." Ninguna entidad legítima utilizará este tipo de comunicación impersonal, en su lugar harán uso del nombre y apellidos del destinatario

Adjuntos maliciosos

Mucho cuidado con ficheros cuyas extensiones sean .exe, .vbs, .docm, .xlsm o .pptm. Especialmente con los .zip o .rar, ya que al tratarse de documentos comprimidos, podrían contener en su interior archivos maliciosos. En caso de descargar este tipo de archivos, tendremos que analizarlos, y si aun así no tenemos claro si el documento es legítimo o no, lo mejor es no abrirlo, contacte antes con el remitente a través de otro canal, como por ejemplo el teléfono. 

La mala redacción

Si un correo presenta graves faltas de ortografía, o una redacción carente de sentido, serán suficientes señales para sospechar que se trata de un correo fraudulento. 

Enlaces fraudulentos y falsos

En este apartado cobran especial importancia los fraudes tipo phishing, donde el objetivo es redirigir al destinatario a un sitio web fraudulento, que suplanta a una entidad reconocida, para capturar sus credenciales. Por norma general, una entidad legítima nunca enviará mensajes que contengan enlaces en sus comunicaciones oficiales. 

Una buena práctica es comprobar el destino de un enlace antes de abrirlo. Para ello, se puede situar el puntero del ratón encima de dicho enlace, el navegador mostrará el enlace y podrá comprobarlo. También se puede copiar y pegar en un blog de notas para analizar si es correcto. Pero, si aun así no se sabe si el enlace es legítimo o no, será preferible no acceder al mismo. 

El correo electrónico es una herramienta indispensable para el funcionamiento diario de cualquier empresa, permitiendo comunicaciones diarias con clientes y proveedores. Por este motivo, es una de las herramientas de ataque preferidas por los ciberdelincuentes, que intentan hacerse con el control o con la información corporativa de una entidad. Haz que tus empleados sean conscientes de estas advertencias para no caer en sus trampas. 

Además, es recomendable contar con medidas que eviten cualquier tipo de infecciones, como pueden ser las soluciones antimalware y contar con filtros antispam. Asimismo, poner en marcha políticas que obliguen a contar con contraseñas seguras o doble factor de autenticación. 

En el siguiente vídeo, indicamos otras buenas prácticas para realizar un uso seguro y responsable del correo electrónico.