Evita que los delincuentes usen técnicas de spoofing para suplantar la identidad por email. ¿Cómo impedir que usen mi correo para enviar pishing?
Existen distintos tipos de spoofing o suplantaciones de identidad: email spoofing, IP spoofing, DNS spoofing o web spoofing, entre otros.
El email spoofing es el principal medio para llevar a cabo ataques de phishing, que no son mas que un conjunto de técnicas para suplantar la identidad de la persona que envía el correo electrónico. El remitente no es quien dice ser; se falsea para que parezca que una persona (compañero de trabajo, amigo, jefe…) u organización (cliente, proveedor, entidad bancaria, administración pública…) te lo ha enviado, pero, realmente, no han sido ellos.
Para conseguir que parezcan legítimos, los ciberdelincuentes cambian algunas propiedades del email, como los campos “from”, “return-path” o “reply-to”, que se encuentran en la cabecera del mensaje. Generalmente, su objetivo es conseguir los datos personales de los usuarios (contraseñas, información personal, número de tarjeta de crédito, datos bancarios, etc.) para sacar un beneficio económico.
Periódicamente se detectan campañas de emails fraudulentos que utilizan esta técnica. Se ha suplantado a la Agencia Tributaria, al Tribunal de Cuentas, al SEPE, Iberdrola, La Caixa o al Banco Santander, entre otros.
Por este motivo, es muy importante que utilicemos el sentido común y, si cualquier cosa nos hace sospechar, nos aseguremos de que el mail es legítimo.
Nociones básicas para evitar que usen mi cuenta de correo y suplanten mi identidad
- No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
- No contestes a estos correos
- No pinches en enlaces, ni descargues ficheros adjuntos, de estos emails.
- Cambia inmediatamente tu contraseña si sospechas que pueda haber sido comprometida.
- No reutilices la misma contraseña en distintos servicios, especialmente la de empresa.
- No proporciones información personal en páginas de dudosa reputación: nombre de usuario, contraseña, datos bancarios, etc.
- Cuando te conectes a un sitio web que te solicita información confidencial, piensa si es realmente necesaria para el servicio ofrecido o es excesiva, y completa la mínima obligatoria. Comprueba que la dirección del sitio comienza con “https» y que tiene el candado verde. Si no es así, no introduzcas datos personales.
Si tienes dudas, consulta directamente con la empresa o las partes implicadas.
También le puede interesar leer el siguiente artículo tecnológico: Fin de la compatibilidad con Office 365
Jose Ángel Gómez
CISO Semantic Systems