Todos hemos recibido correo basura más de una vez, es habitual, posiblemente también correo phising o de suplantación de identidad, esto quiere decir que alguien se hace pasar por una persona, empresa o entidad que no es. Este tipo de correo phising además suele adjuntar virus, malware o distintas fórmulas para la captación de datos personales de los usuarios. Detectarlo es sencillo, pero no todos los usuarios están familiarizados con este tipo de correo cada vez más elaborado, por lo que es fácil caer en sus nefastas intenciones y tener problemas que pueden llegar a ser auténticas pesadillas.
Por norma general el correo phising deja evidencias de su falsedad. Si conocemos los puntos que debemos verificar al recibir un correo es muy fácil detectar si se trata de correo phising, al final lo haremos de manera automática y tardaremos décimas de segundo en abrir el correo y darnos cuenta. Vamos a poner un caso real de correo phising para reconocer sus errores y así reconocer este tipo de correos.
A continuación presentamos un correo phising que se hace pasar por una entidad estatal conocida, con logotipos oficiales, remitente elaborado y en este caso además aprovecha el actual estado de alarma por el COVID-19 para crear más confusión en el receptor.
Como puedes apreciar, aparentemente se trata de un correo que nos ha llegado de la Agencia Tributaria, pero no lo es. Vamos con los puntos de chequeo:
Fíjate bien en el remitente.
En este caso se trata de contact@medidastibutaria.es
- Los correos oficiales de entidades españolas no utilizan términos en otros idiomas, en este caso el usuario remitente es «contact». Por norma general los correos phising no tienen buenas traducciones y tienen alguna parte en otro idioma.
- El dominio desde el que se envía medidastributaria.es no está bien escrito (singular + plural), aunque se trata de una extensión TLD de tipo geográfica (.es) típica de páginas de España. Esta parte está elaborada por el hacker porque es necesario especificar el DNI del titular del dominio para registrar un dominio .es, es decir, el hacker se ha tomado ciertas molestias en sustraer el nombre, apellidos y DNI de un tercero. Lo habitual es ver un remitente con extensiones de dominio tipo .top, .xyz, .news, .club, etc., más fáciles de registrar.
La redacción suele ser deficiente.
- Los correos phising suelen ser extranjeros, provienen de Rusia y China en su mayoría, por lo que las traducciones suelen fallar. En el asunto del correo puedes ver de nuevo el uso indistinto de plural y singular, también un texto confuso «si su empresa es elegible«.
- En el cuerpo del correo puedes ver un texto escueto, inconexo, dudoso, mal redactado, etc. En este caso se trata de un texto muy reducido donde se indica que, por un motivo poco claro pero alarmante, debes descargar un documento y devolverlo firmado. En las administraciones públicas no te van a enviar un documento por correo para solicitar que lo firmes y reenvíes sin más. Tampoco van a contactar contigo en una dirección de correo que no esté facilitada voluntariamente por ti y verificada por las administraciones públicas en sus bases de datos.
- En este caso, al pie del correo puedes ver una política de privacidad escueta y no reglamentaria, donde se indica una dirección de la Agencia Tributaria en Madrid, situada en Spania.
Enlaces a direcciones dudosas.
- En el cuerpo del correo verás que siempre indican con urgencia que debes entrar en un enlace o descargar un documento para solventar una situación peregrina. En este caso indican que se debe descargar un documento, que no está adjunto, a través de un enlace. Antes de pinchar en el enlace de un correo debemos posar el ratón encima para comprobar la dirección a la que nos va a dirigir. Este caso el enlace nos dirige a una página que no es medidastributaria.es como indica el dominio del usuario remitente del correo, nos va a llevar a medidastributaria.club. De hecho medidastributaria.es no apunta a ninguna página si buscamos en internet. Si tienes dudas, en la página oficial del Ministerio de Asuntos Económicos y Transformación Digital dominios.es puedes comprobar el titular de un dominio con extensión española. En este caso el titular no es una empresa o entidad, es una persona física. Las personas físicas no son titulares de dominios de entes gubernamentales. Si se trata de una extensión de dominio distinta al .es, puedes comprobar su titular en WHOIS
¿Cómo evitar correo phising?
Es complicado, la seguridad se basa en gran medida en el sentido común y buenas prácticas. Para evitar la recepción de correo basura, spam o phising debes mantener un criterio de seguridad:
- Crea filtros que envíen correo a la basura directamente, es decir, puedes indicar en tu gestor de correo que un usuario o una extensión de dominio determinada siempre entre en la bandeja de no deseados o se elimine directamente. Si indicas en tu filtro que *@loquesea.com llegue a no deseados, cualquier cuenta de correo del dominio loquesea.com entrará en no deseados. Si indicas en tu filtro user?@*.com harás que cualquier cuenta de correo con la extensión .com llegue a no deseados. Esto último es útil con extensiones de dominio ampliamente utilizadas para correo basura como .rocks, .today, .news (lo siento por los que tengan una extensión de este tipo y sean legales)
- No te registres en páginas dudosas.
- Si te registras en páginas dudosas no lo hagas jamás con un correo que hayas utilizado, o vayas a utilizar, para el registro en administraciones públicas, ayuntamientos, instituciones oficiales, etc.
- Evita el registro en páginas sin certificado SSL (candado verde en la barra de direcciones). Aunque curiosamente son muchas las páginas de administraciones oficiales que no tienen certificado SSL…
- No ofrezcas jamás datos personales, DNI o tarjetas de crédito, en páginas no verificadas. No facilites jamás tus contraseñas a nadie por ninguna vía: correo, teléfono, etc. Las administraciones públicas no solicitan tus contraseñas.
- No utilices jamás la misma contraseña para varias páginas, es tan cómodo como peligroso. Evitarás que terceros puedan acceder a perfiles y páginas con información personal donde te hayas registrado. Si además empleas contraseñas seguras con más de doce caracteres alfanuméricos y símbolos aumentas muchísimo tu propia seguridad. (ej. Hi2=LM-FpKl3), evita siempre palabras conocidas en tus contraseñas (ej. pepito123).
Aunque cumplas todos estos criterios no estarás completamente a salvo de correo phising, pero lo reducirás de manera drástica. Ten en cuenta que hasta la canciller alemana Angela Merkel o Telefónica han sufrido ataques y robos de cuentas, aunque por métodos distintos al correo phising.