Correo electrónico: Los criminales en su puerta
¿Recuerda su primer correo electrónico? ¿O bien enviando uno, o bien recibiéndolo? Ciertamente recuerdo haber explicado a la gente lo que era el correo electrónico, y también recuerdo que alguien me dijo que podía vivir sin su servidor de correo electrónico durante «un mes aproximadamente antes de que fuera un problema».
¿Te imaginas eso ahora? ¿Un mes sin correo electrónico?
El correo electrónico es un mal necesario
Según Earthweb, en 2022 se enviarán aproximadamente 333.200 millones de correos electrónicos al día, es decir, ¡unos 3,5 millones de correos electrónicos cada segundo!
El correo electrónico es, sin duda, la herramienta de comunicación preferida por casi todo el mundo, y es fundamental para los que tenemos una empresa. Por lo tanto, ¿es de extrañar que, en este contexto de aumento del uso del correo electrónico, veamos que los estafadores y los ciberdelincuentes utilizan el correo electrónico como su principal mecanismo de entrega de phishing y malware?
Según el Informe de Tendencias de la Actividad de Phishing de APWG, se produjeron 1,25 millones de ataques de phishing en el primer trimestre de 2022, lo que lo convierte en el peor trimestre de phishing observado hasta la fecha. Pero como todas las estadísticas de esta naturaleza, debemos tener en cuenta que se trata de los ataques reportados, por lo que muchos más pasan desapercibidos o no se reportan. Por lo tanto, aunque es pura especulación, la cifra podría ser significativamente mayor.
¿Por qué es tan atractivo el correo electrónico?
Puede parecer una pregunta fácil de responder, pero el correo electrónico no es sólo una puerta de entrada a nuestras organizaciones. Ofrece mucho más. Desde el punto de vista de los estafadores, es muy fácil hacerse con las direcciones de correo electrónico, ya que la mayoría de nosotros las compartimos sin preocuparnos o tener en cuenta cómo se utilizan. Facilitamos libremente nuestras direcciones de correo electrónico en los sitios web cuando nos inscribimos en boletines de noticias o servicios en línea, y compartimos nuestras direcciones de correo electrónico cuando un vendedor nos pregunta si queremos que nos envíen un recibo por correo electrónico, o si nos gustaría unirnos a su «club exclusivo».
En 2021 se descubrió en la Dark Web la Compilation of Many Breaches (COMB), que contenía más de 3.200 millones de correos electrónicos y contraseñas. Con esa cantidad de correos electrónicos, ¿es de extrañar que 2021 haya sido un año de gran cantidad de campañas de phishing?
La otra razón por la que el correo electrónico es un objetivo tan atractivo para las estafas es que muchos de nosotros pasamos toda nuestra vida por nuestra bandeja de entrada, lo que hace que nuestro correo electrónico sea una rica fuente de información. Usamos nuestro correo electrónico para registrarnos en línea para hacer compras, operaciones bancarias, servicios públicos, citas y redes sociales, además de ocupar un lugar destacado en nuestra vida laboral.
Volviendo a la cuestión del gran volumen de correos electrónicos, vale la pena pensar en la cantidad de correos electrónicos que recibes y cómo responder a todos ellos parece ser un desafío constante. Los ciberdelincuentes lo saben, y saben que no estamos prestando atención a los detalles del correo electrónico que podrían delatarlos.
En su DMARC… Prepárese. Adelante.
Hay algunas cosas muy sencillas que puedes hacer para protegerte de las estafas por email:
- Cancelar la suscripción de todos esos correos electrónicos que son sólo ruido, o, Cree una regla para separarlos en otra carpeta.
- Marque los correos electrónicos que sabe que requerirán un esfuerzo por su parte para responder correctamente.
- Dedica bloques de tiempo específicos del día a ocuparte de los correos electrónicos. No te sientas obligado a leer y responder inmediatamente a todo.
Aunque todos estos son métodos que cualquiera puede utilizar para protegerse de las estafas por correo electrónico, otro problema que se produce es cuando una dirección de correo electrónico es falsificada, es decir, el estafador envía un correo electrónico que pretende ser enviado desde una dirección legítima. Para ello, existe un enfoque más técnico que los administradores de correo pueden implementar para proteger a una organización de los mensajes falsos.
Un método para conseguirlo es que el administrador del dominio aplique DMARC. Si nunca ha oído hablar de DMARC, se trata de un mecanismo de autenticación que se superpone a otros dos esquemas, Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM). El DMARC está configurado para verificar que la dirección del encabezado «De» es el verdadero remitente del mensaje. Esto permite a los propietarios de los dominios indicar a los destinatarios cómo deben manejar el uso no autorizado de sus dominios de correo electrónico, protegiendo así el dominio.
Como puede imaginar, esto es muy valioso y contribuye en gran medida a proteger su dominio de la falsificación.
En el último informe «Email fraud & identity deception trends» de la división de inteligencia de AGARI Cybersecurity, señalan que la adopción todavía no está donde tiene que estar, indicando que:
«La autenticación, notificación y conformidad de mensajes basada en el dominio (DMARC)
dio un salto del 19% entre 2020 y 2021. Sin embargo, el número de empresas de la lista Fortune 500 que desplegaron políticas DMARC mostró un mero aumento del 10% con DMARC configurado en su nivel más agresivo de aplicación, es decir, en p=reject.»
Su informe destaca que el 66% de las empresas de la lista Fortune 500 siguen siendo vulnerables a la suplantación de identidad en estafas de phishing dirigidas a sus clientes, socios, inversores y público en general.
Conclusión: ¿Qué más podemos hacer?
Puede parecer un consejo sencillo, pero una cosa adicional que podemos hacer es… ir más despacio.
Una de las razones por las que caemos en manos de los estafadores y los ciberataques es que no prestamos atención a los correos electrónicos que pasan por nuestras pantallas. Los escaneamos rápidamente, disparamos una respuesta y pasamos al siguiente sin pararnos a pensar.
Si nos damos tiempo para pensar y nos permitimos desconectarnos al final del día, puede que volvamos a nuestras bandejas de entrada con una atención más centrada y, por lo tanto, con menos probabilidades de ser víctimas de un ataque de phishing.
Dicho de otro modo, necesitamos un enfoque combinado tanto técnico (DMARC) como humano (reducir la velocidad) para hacer frente a un problema que no desaparece.
Fuente: Tripwire