Fraude del 'spoofing': cómo evitar el engaño si nos llega un correo de nuestra red social favorita

Si te llegan correos electrónicos que no esperabas o no has solicitado y además provienen de desconocidos, la recomendación de los expertos suele ser que no los abras y los elimines. Pero, ¿qué pasa cuando el correo que llega a tu bandeja de entrada es de una de tus redes sociales favoritas y, encima es para informarte de una actividad sospechosa en tu cuenta? Es posible que en estos casos bajemos las defensas y, si el mensaje nos recomienda, por ejemplo, actualizar la contraseña cuanto antes y para facilitarnos las cosas nos comparten un enlace que nos llevaría directo a nuestro perfil, lo hagamos. Si actuamos de este modo, estaremos cometiendo un error, según advierten desde la Oficina de Seguridad del Internauta (OSI @osiseguridad), puesto que se trata de una técnica utilizada habitualmente por los ciberdelincuentes, el spoofing, que utiliza distintos tipos de tecnología para suplantar webs o correos electrónicos, haciendo que la víctima crea que está interactuando con un sitio seguro.

Según la OSI, el spoofing figura entre los ataques más populares de los delincuentes: falsifican la dirección de correo electrónico o la URL de una organización para hacerse pasar por ella, de modo que el usuario crea que la comunicación que le envían es legítima y caiga en el engaño, proporcionando sus credenciales de acceso y datos personales. En la técnica del email spoofing, además, dentro de la lista de los destinatarios podrían aparecer en copia direcciones de contactos conocidos, información obtenida tras haber sido víctimas de otros ataques. Si accedemos al enlace falso que se nos proporciona “ingresamos nuestros datos y, como si de un error se tratase, vuelve a llevarnos a la página principal de la red social para que volvamos a ingresar los datos”, aseguran desde la OSI.

Así, sin saberlo, nuestros datos habrán sido robados porque el ciberdelincuente nos compartió un enlace a una web fraudulenta que simulaba ser la red social original, pero cuya única función era hacerse con el control de nuestra cuenta. Como el correo que nos envían suplanta el email del servicio legítimo, no nos hace sospechar que estemos ante un fraude y por eso accedemos a las peticiones del mismo.

El ejemplo de las fotografías

Los expertos en seguridad del OSI ponen como ejemplo de spoofing un correo electrónico supuestamente de la red social en el que se nos informe de que nuestras fotografías van a ser eliminadas. Si queremos recuperarlas, en el email encontraremos un archivo adjunto que deberemos ejecutar: “Lamentablemente el adjunto es un malware que, al ejecutarlo, infectará nuestro dispositivo. Han falseado el email legítimo de la red social para que no sospechemos del remitente y accedamos a las peticiones del mensaje”.

Para protegernos de esta amenaza podemos utilizar la firma digital o el cifrado de nuestros emails para comprobar si son auténticos los mensajes y para prevenir suplantaciones. Y, si las organizaciones con las que nos comunicamos lo utilizan, nos será más fácil identificar casos de correos maliciosos. “Si no disponen de certificado –afirma la OSI–, siempre deberemos revisar el contenido del mensaje para ver si tiene sentido lo que nos están contando y en caso de duda, preguntaremos directamente al servicio o empresa que nos contacta tecleando la URL en el navegador”.