Cómo los ciberdelincuentes se hacen con el control del correo electrónico

Ejemplos

Los «bots de software» que recopilan correos electrónicos de la web

En los últimos años, una de las formas más habituales es recopilar correos electrónicos por medio de programas informáticos de «software». Como versiones más simples de las arañas de búsqueda de Google, los «bots» escanean sitios web, foros, etc. de forma automática para buscar direcciones de correo electrónico. Una vez que han recopilado las direcciones de correo electrónico, los «bots» pasan al siguiente sitio. En función de lo avanzado que sea el «software», puede recopilar miles de direcciones cada día. La clave aquí es cantidad sobre calidad, lo que va de la mano con el objetivo de recopilar información en primer lugar: correo basura, «phishing» o uso de la lista como mercancía.

Cómo puede protegerse:  la única forma de protegerse de este tipo de recopilación de correo electrónico es, por una parte, abstenerse de escribir las direcciones de correo electrónico en abierto en la web o escribirlas de forma que un ordenador no entienda que es una dirección. Por ejemplo, juan.diaz(at)example.com. En este caso la «@» se ha sustituido por «at» y por tanto un ordenador no será capaz de entender que está «leyendo» una dirección de correo electrónico.

Su correo electrónico forma parte de una filtración interna

Las noticias sobre empleados que filtran o venden datos de los clientes de su empresa son muy habituales. Uno de los casos más recientes que ha saltado a la prensa fue un incidente en el que un empleado de Amazon filtró las direcciones de correo electrónico de los clientes a un tercero. Los motivos por los que los empleados filtran datos son obviamente muy variados. Algunas veces, puede deberse a un beneficio económico y otras por venganza. Sin embargo, en la mayoría de los casos no existe ningún motivo. Simplemente se debe a un error humano. Lamentablemente, los motivos escondidos detrás de la filtración de datos son sólo superficialmente relevantes para las personas cuyos datos se filtran, ya que tienen el mismo riesgo de acabar en manos de personas con malas intenciones.

Cómo puede protegerse: la única cosa que protege al público general de que sus datos sean filtrados o vendidos por empresas son las leyes y las normas. Esto significa que como individuo particular no puede hacer nada más que confiar en que la empresa que dispone de sus datos los almacene de una forma segura. Sin embargo, por muy estrictas que sean las leyes o por muy rigurosa que sea la protección de datos de sus clientes por parte de una empresa, es imposible garantizar que ningún empleado, por la razón que sea, no los filtre.

Más ejemplos

Su correo electrónico forma parte de una violación de datos de una empresa

Además de vender o filtrar sus datos, una empresa puede sufrir una violación. Esto significa que, al contrario que en los datos filtrados, alguien ajeno a la empresa encuentra la forma de robar los datos. Desde que los datos de los clientes se han convertido en un negocio lucrativo, hay muchas personas interesadas en infiltrarse en fuentes de datos y extraer la información confidencial que encuentren. En consecuencia, las violaciones de datos tienen lugar prácticamente a diario. Una sola violación puede suponer el robo de la información personal de decenas de miles de personas (esto mismo también es aplicable a las filtraciones).

Cómo puede protegerse: lo único que puede hacer es esperar que las empresas con las que ha compartido datos hayan adoptado unas medidas de seguridad informática adecuadas para mantener a los piratas informáticos a raya y que cumplan con los protocolos en lo referente a la información personal. Sin embargo, aunque una empresa siga todas las reglas, existe el riesgo de que sean hackeadas o cometan un error que exponga los datos de sus clientes en sitios para personas que saben dónde tienen que buscar. LinkedIn, Ebay, Adobe y Zynga son solo algunos ejemplos de grandes empresas que han sido hackeadas y han robado sus datos. Si es posible robar datos a empresas como estas, debemos suponer que todas las empresas están en riesgo.

«Phishing» a través de las redes sociales

Todos los tipos de «phishing» tienen en común en que son una forma de hacerse pasar por una fuente fiable como, por ejemplo, un conocido, una empresa conocida, etc. El «phishing» se presenta de distintas formas, siendo por correo electrónico la más conocida. Pero este artículo trata en primer lugar sobre cómo los ciberdelincuentes se hacen con el control de su correo electrónico, así que echemos un vistazo al tipo de «phishing» empleado para ello: «phishing» por las redes sociales. Uno de los métodos para engañarle y que facilite su información es los mensajes de Facebook de personas de su lista de amigos (cuya cuenta ya ha sido intervenida) que dicen, por ejemplo, «¡Dios mío! ¿Eres tú el de la foto?» y un enlace al final del mensaje. Otra estafa de «phishing» muy extendida por Facebook es la afirmación, aparentemente procedente de Facebook, de que se podían instalar extensiones de cuenta que permitían ver quién había visitado la página personal. En ambos ejemplos, la persona que hacía clic en el enlace de los mensajes era reenviada a páginas falsas utilizadas para robar su información de inicio de sesión o a encuestas para recopilar sus datos personales (incluida la cuenta de correo electrónico).

Cómo protegerse: tenga cuidado siempre que le pidan que introduzca información sensible, no haga clic en enlaces sospechosos y por último, pero no por ello menos importante, compruebe siempre si la URL parece ser la correcta en caso de que le redirijan a una nueva página de inicio de sesión que afirme pertenecer a la plataforma de la red social en la que haya iniciado sesión en ese momento.