Están utilizando mi email para hacer fraudes o enviar virus ¿Qué hago?

Están utilizando mi email para hacer fraudes o enviar virus ¿Qué hago?

Email spoofing es una técnica que utilizan cyber delincuentes para ocultar la verdadera dirección del remitente en un correo malicioso y sustituirla por una legítima suplantando la identidad de una empresa o un usuario al utilizar un dominio auténtico. Los atacantes suelen utilizar esta técnica en campañas de phishing o spam maliciosas para mejorar su eficacia al evadir controles antispam y hacer que los correos tengan una apariencia más creíble.

La suplantación de identidad es posible debido a que el protocolo SMTP (Simple Mail Transfer), el principal protocolo utilizado para el envío de los correos electrónicos, no incluye un mecanismo de autenticación. A decir verdad, sí que existe una extensión del protocolo SMTP (especificada en el IETF RFC 2554) que permite a un cliente SMTP negociar un nivel de seguridad con un servidor de correo, aunque esta funcionalidad no siempre se toma.

Si no se establecen las precauciones adecuadas, cualquiera que tenga ciertos conocimientos de informática puede modificar el envío de los correos para que parezca que han sido enviados por una cuenta cuando realmente no ha sido así. De esta forma cualquiera puede enviar emails falsificados que parecen ser tuyos, con un mensaje que no escribiste desde tu propio dominio.

El objetivo del spoofing es convencer a los usuarios de que el correo electrónico proviene de alguien que conocen o en quien confían. En la mayoría de los casos, un colega, proveedor o marca. Haciendo uso de esa confianza, el atacante le pide al destinatario que divulgue información o que tome otras acciones.

Ataques más complejos se orientan a empleados financieros y se sirven de la ingeniería social y el reconocimiento en línea para convencer a un usuario objetivo de que envíe millones a la cuenta bancaria de un atacante.

Tanto si usted es un empleado responsable de decisiones financieras como si simplemente usa su correo electrónico personal en el trabajo, existen diversos pasos a seguir para evitar convertirse en víctima de fraude de correo electrónico:

• Nunca haga clic en enlaces para acceder a una web en la que se le pida autenticación. Escriba siempre (con el teclado) el dominio oficial en su navegador y haga su autenticación directamente en la web.
• Los pasos para ver los encabezados de correo electrónico varían según el cliente de correo electrónico, así que lo primero que hay que hacer es consultar el procedimiento para ver los encabezados de correo electrónico de su software de bandeja de entrada. Después, abra los encabezados de correo electrónico y busque la sección "Recibidos-SPF" de los encabezados y busque una respuesta PASS (aprobado) o FAIL (fallido).
• Copie y pegue el contenido de un mensaje de correo electrónico en un motor de búsqueda. Lo más probable es que un texto que se haya empleado en un ataque común de phishing ya haya sido reportado y esté publicado en internet.
• Sea suspicaz ante un correo electrónico que supuestamente provenga de una fuente oficial, pero que tenga errores ortográficos o de puntuación.
• Evite abrir archivos adjuntos de remitentes sospechosos o desconocidos.
• Un correo electrónico en que se le ofrezca dinero ─o cualquier otra cosa que sea demasiado buena como para ser cierta─, seguramente será una estafa.
• Tenga cuidado con los correos electrónicos que le produzcan una sensación de urgencia o de peligro. El phishing y los ataques BEC intentan evadir el escepticismo natural del destinatario sugiriéndole que algo malo ocurrirá si no actúan con celeridad. Sea extremadamente cuidadoso si el mensaje le informa acerca de cierres de cuentas pendientes, errores en pagos programados o actividades sospechosas en una de sus cuentas financieras. Visite la página web directamente desde su navegador, no desde el enlace en el correo electrónico.