No caigas en las estafas por correo electrónico este Black Friday

La infraestructura que ejecuta el correo electrónico de Internet no ha cambiado mucho en los últimos 30 años. Sí, hemos superpuesto algunas cosas como Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) pero en esencia, el protocolo sigue siendo el mismo. Ese es el problema. El correo electrónico fue diseñado en un tiempo más simple. Una época en la que Internet era un recurso de confianza y nadie pensaba dos veces en el hecho de que es fácil modificar los encabezados de un correo electrónico para que parezca que tu jefe está recibiendo un correo electrónico del presidente de los Estados Unidos felicitándote por todo tu excelente trabajo. No digo que eso haya sucedido o que yo fuera parte de ello… pero hipotéticamente, es posible.

Entonces, si no se puede confiar en el correo electrónico, ¿qué podemos hacer? Bueno, primero, en estos días el correo electrónico es mucho más confiable. Es mucho más fácil detectar correos enviados por alguien, pero dicen que son del presidente, gracias a cosas como Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM).

Sin embargo, incluso con estas nuevas tecnologías, las estafas por correo electrónico siguen siendo desenfrenadas. A medida que nos adentramos en la temporada navideña, detengámonos por un momento y veamos algunas cosas que puedes hacer para asegurarte de no caer en la última estafa. (Lo que no es enviar correos electrónicos a jefes desprevenidos …)

Estafas por correo electrónico de las que debes estar al tanto

Echemos un vistazo a algunas de las muchas formas en que las personas malas intentan hacerte cosas malas a través del correo electrónico. Este primer grupo de estafas entran en la categoría de estafas de phishing. Una estafa de phishing es básicamente un correo electrónico diseñado para engañarte haciéndote pensar que es de alguien que no es y convencerte de hacer clic en un enlace incrustado en el correo electrónico.

Las solicitudes falsas de “verificación de cuenta”

Estos pueden parecer provenir de tu banco, Netflix, Twitter o uno de esos sitios en los que no admites tener una cuenta. No importa de dónde vengan, todos tienen el mismo mensaje básico.

“Tu cuenta ha sido bloqueada por un MOTIVO. Para desbloquear tu cuenta antes de que la eliminemos por completo, haz clic en este enlace.”

Aquí hay una pista, ningún sistema confiable envía estos correos electrónicos al azar. Si obtienes uno y realmente no estás interactuando con esta organización, entonces es casi seguro que se trate de una estafa de phishing.

En caso de duda, extrae la documentación que tienes para esta organización, busca un número de teléfono y llámalos. Pregunta si hay algún problema con tu cuenta. Cuando te digan que no, agradéceselo, deséale un buen día, cuelga, marca el correo como spam y sigue adelante con tu vida.

Las notificaciones inesperadas de “error de facturación”

¿Sabías que es posible que las personas malas descubran cosas sobre ti sin que les digas? Es relativamente sencillo averiguar dónde está alojado un sitio web. Cuando las personas malas descubren información como esta, les gusta usarla para su beneficio y para tu perjuicio. Tal es el aviso de “Error de facturación”.

Por ejemplo, si eres un cliente de SiteGround y recibes un correo electrónico de SiteGround notificándote de que ha habido un error de facturación y ahora debes $XXXXX más, detente. No hagas clic en ningún enlace del correo electrónico. En su lugar, ve a la página de soporte de SiteGround e inicia una sesión de chat con una de sus personas de soporte. Ellos pueden decirte si hay un problema con tu cuenta o no.

Aquí tienes un ejemplo de un correo electrónico de phishing que solicita a un cliente de SiteGround actualizar sus datos de facturación para poder renovar su dominio:

Ten en cuenta que este correo electrónico falso no contiene el nombre del destinatario, y los correos electrónicos originales de SiteGround deben incluir el nombre que has usado para registrar tu cuenta.

A continuación, ten en cuenta que este correo electrónico tiene errores gramaticales y ortográficos. Estas son banderas rojas de un correo electrónico fraudulento junto con el formato deficiente.

Finalmente, la firma no es la utilizada por el equipo de SiteGround.

Cuando confirmes que en realidad no hay un error de facturación, agradece a la amable persona de soporte, deséale un día maravilloso, desconecta, marca el correo electrónico como spam y sigue adelante con tu vida.

Las solicitudes de “confirmación de pedido”

Un viejo pero bueno, y uno que aparece mucho en estos días porque el comercio electrónico se ha disparado, es el correo electrónico de “Confirmación de pedido”. Estos son más efectivos cuando provienen de empresas con las que nunca has tratado. Por lo general, también implican grandes sumas de dinero. La idea aquí es alarmarte tanto que obviamente harás clic en el enlace para “Desconfirmar” el pedido.

Si el correo electrónico parece ser de una empresa con la que no haces negocios, ignóralo. Márcalo como spam y sigue adelante con tu vida.

Si parece que es de una empresa con la que haces o has hecho negocios, contáctales directamente fuera del correo electrónico. Habla con el departamento de ventas o de contabilidad y comprueba si alguien ha realizado un pedido en tu nombre. Cuando encuentres que la respuesta es no… bueno, ya conoces el simulacro.

La estafa “Click and Collect”

Gracias a la reciente pandemia, “Click and Collect” se ha convertido en una forma común de comprar. Compras algo online en un minorista cercano. Conduces a su tienda y les dices que estás allí, te llevan el artículo a tu coche. A veces, incluso lo ponen en tu maletero para que no tengas que encontrarte con ellos cara a cara.

En ninguna parte del flujo de trabajo Click and Collect hay un correo electrónico que diga “Haz clic aquí si no has pedido esto”. Trátalos de la misma manera que las solicitudes de confirmación de pedido. Si no tratas con la empresa, es una estafa. Si tratas con la empresa pero no has realizado un pedido, es una estafa. Si tienes alguna duda, ponte en contacto con la empresa directamente, no respondiendo al correo electrónico dudoso.

A veces, los estafadores son REALMENTE buenos. Te envían un correo electrónico que parece correcto. 

Correos electrónicos de phishing en la vida real  (Bueno, capturas de pantalla)

¿Cómo son los buenos correos electrónicos de phishing? Aquí hay algunos ejemplos de correos electrónicos fraudulentos de phishing enviados a clientes de SiteGround.

Aparte de todas las banderas rojas ya mencionadas, la dirección de correo electrónico ‘de’ de estos correos electrónicos no es un correo electrónico válido de SiteGround. Además, un correo electrónico adecuado de SiteGround nunca mencionaría el método de pago utilizado por ti para pagar el servicio en cuestión.

Si eres un cliente de SiteGround que viene a denunciar tales correos electrónicos, SiteGround te pedirá que envíes el correo completo como un archivo adjunto, ya que lo usan para entrenar sus propios sistemas para bloquear dichos correos electrónicos (en caso de que tu correo electrónico esté alojado en SiteGround) , para que no lleguen a tu bandeja de entrada. En caso de que tu correo no esté alojado en SiteGround, puedes marcarlo como spam en tu proveedor de correo.

Para obtener más información sobre cómo protegerse de los ataques de phishing por correo electrónico, consulta la publicación del blog sobre este tema.

¿Cómo protegerse de las estafas por correo electrónico durante las festividades?

Entonces, ¿cómo sabrías si esto fue un correo electrónico fraudulento? Bueno, la respuesta fácil es “practicar el correo electrónico seguro”. Estas son algunas de las cosas que hago antes de hacer clic en un enlace en un correo electrónico, cualquier correo electrónico.

1. Comprueba la dirección ‘de’.
   Ya lo hemos hecho, pero muchos correos electrónicos de phishing provienen de direcciones de correo electrónico inverosímiles. La mayoría de los estafadores no se molestan en intentar ocultarlo porque muy pocas personas prestan atención. Un reciente intento de phishing que se me envió supuestamente provenía de NetFlix. Sin embargo, la dirección de correo electrónico era XXX@yahoo.jp. Sí, Yahoo tiene un dominio de Japón, ¡pero no envían correo electrónico a NetFlix desde él! Ni siquiera a los clientes japoneses.

   Una buena regla general es que si no esperabas un correo electrónico de alguien, ni siquiera de un familiar o amigo, trátalo como sospechoso hasta que sepas que en realidad fue de ellos. Si no reconoces a la persona de la que proviene, entonces asume automáticamente que es maliciosa hasta que puedas probar lo contrario. 

2. Comprueba todos los enlaces antes de hacer clic.
   La mayoría de los clientes de correo electrónico en estos días te permitirán colocar el cursor sobre un enlace que dice “Haz clic aquí” (o donde sea) y ver cuál es la URL real. Léelo CON MUCHO CUIDADO. Presta atención al nombre de dominio. https: //goog.le no es lo mismo que https://google.com. Léelo atentamente. Si parece sospechoso, no hagas clic en él.

   Algunos programas de correo electrónico te mostrarán el enlace en una ventana emergente cuando hagas clic en él y te pedirán que verifiques antes de que abra un navegador con ese enlace. Si tu programa de correo electrónico hace esto, activa esta función. Sí, agrega un paso adicional antes de que puedas ver esa preciosa imagen de bebé que te envió tu amigo, pero te permite asegurarte de que realmente vas a ver una imagen de bebé y no instalar malware en tu computadora.

3. No descargar archivos adjuntos automáticamente
   Tu programa de correo electrónico debe estar configurado para no descargar archivos adjuntos automáticamente. Esto significa que si descargas algo de un correo electrónico, tendrás que hacerlo a propósito. Si el correo electrónico no parece correcto o falla alguna de las comprobaciones de las que hemos hablado aquí, no descargues nada. Incluso cosas como los documentos de Microsoft Word que parecen inocuos (haz clic aquí para ver la factura del servicio que no has pedido) pueden hacer cosas maliciosas si los abres. Si no esperabas que alguien te enviara un archivo adjunto de correo electrónico, ¡no lo abras!

4. Leer los encabezados
   Ok, esto es para los nerds extremos del correo electrónico, pero aquellos de nosotros que hemos estado haciendo esto por un tiempo podemos descubrir mucho leyendo los encabezados que vienen con cada correo electrónico. En estos días, los programas de correo ocultan los encabezados, pero están ahí si quieres leerlos. 

5. Escucha tu instinto
   Mi esposa, la encantadora y talentosa Kathy, recibió un correo electrónico de nuestro pastor un día con el asunto “Te amo”. Ella era buena amiga de este hombre y aunque el asunto la confundía, también despertaba su interés. Lo abrió solo para encontrar que había un script malicioso adjunto al correo electrónico. Eliminó aproximadamente la mitad de las imágenes que habíamos almacenado en nuestro servidor doméstico antes de que pudiera detenerlo. Afortunadamente, tenía una copia de seguridad, por lo que no hubo pérdida, aparte de las horas que tardó en limpiar el desorden. Si simplemente lo hubiera llamado, abierto un nuevo correo electrónico y le hubiera escrito a la dirección que tenía en su lista de contactos, o se hubiera puesto en contacto con él de cualquier otra forma, podría haber averiguado que no era de él, sino que era una estafa. En lugar de confiar en su instinto, abrió el correo electrónico.

Otras estafas del Black Friday a tener en cuenta

El correo electrónico es, con mucho, la forma más fácil para que los malos actores hagan que las personas desprevenidas hagan cosas malas. Sin embargo, hay un par de otras formas.

Enlaces a sitios “Copycat” malicioso

Si recibes un correo electrónico con un enlace a goog.le, es bastante fácil de detectar. Sin embargo, si estás haciendo tus compras en https://reallyLongDomainName.com y lo escribes mal, entonces puedes terminar en un sitio web que se vea exactamente como el que estabas buscando.

Los malos actores buscan errores ortográficos comunes para los dominios rentables. Los compran y ponen sitios de imitación. Estos son sitios que se parecen al que estabas buscando. Probablemente incluso tengan productos y un carrito de compras. Sin embargo, no te equivoques, son estafas. Cuando pones tu información personal y número de tarjeta de crédito, no vas a obtener esos pantalones morados que pediste y que a tu hermana le encantarán. No recibirás nada más que una desagradable sorpresa cuando llegue el extracto de tu tarjeta de crédito.

Esto es realmente fácil de captar, si prestas atención.

Primero, después de llegar a un sitio, mira la barra de direcciones. ¿Hay un pequeño candado al lado del nombre de dominio? El pequeño candado significa que el dominio que estás utilizando tiene un certificado seguro y que es válido. Si no tiene un pequeño candado, o si hay una línea que lo atraviesa, eso significa que el certificado no existe o que no es válido para ese dominio. Ambas son banderas rojas realmente grandes de que no quieres hacer ningún negocio en este sitio o poner tu información personal.

Un certificado SSL no siempre es suficiente para demostrar que estás en el sitio web correcto. Los estafadores pueden registrar sitegroound.com, por ejemplo, e instalar un certificado en él. El certificado solo proporciona cifrado en la mayoría de los casos. Siempre es una buena idea revisar también la dirección URL, especialmente cuando realizas pagos, creas cuentas, completas formularios, etc.

Sitios que se hacen pasar por páginas de inicio de sesión o de destino

El último tipo de estafa online del que hablaremos son las páginas de inicio de sesión falsas. Estos pueden ser parte de una falsificación muy buena, o puedes llegar a un sitio solo para encontrar que antes de poder acceder a las cosas buenas, debes ingresar tus credenciales de inicio de sesión. Si este es un proveedor de comercio electrónico con el que normalmente hace negocios, o una institución con la que realiza operaciones bancarias, para. No hagas nada más. Sitios como ese no solo ponen una página de inicio de sesión sin que todos sepan con anticipación. Estos no son más que “recopiladores de contraseñas”.

Si ingresas tus credenciales en el sitio, no funcionarán… porque son falsas. Pero los humanos son tercos. Asumirás que has escrito mal algo… especialmente si estás utilizando una contraseña larga y muy segura. Así que lo intentarás de nuevo.

Si eres como la mayoría de nosotros, cuando no funciona la segunda vez, asumirás que has usado la contraseña incorrecta y probarás otra contraseña, y tal vez incluso una cuarta antes de empezar a pensar que algo puede estar mal.

Cada conjunto de credenciales que ingresaste se ha ido a una base de datos y las personas malas comenzarán a usarlas para intentar iniciar sesión en cualquier sitio que crean que puedes tener una cuenta. Dado que les estabas dando credenciales de inicio de sesión reales, has regalado las claves del reino.

Estar atento, estar alerta, sospechar rayando en lo paranoico. Asegúrate de que antes de poner cualquier información en un sitio web, estás absolutamente seguro de que estás en el sitio web correcto. Las apariencias engañan.

Cómo practicar la conexión a Internet de forma segura en estas temporada de ventas

• Sospecha siempre de los correos desconocidos o inesperados.
  Si no conoces a la persona, o incluso si la conoces pero no esperas tener noticias de ella, sospecha. Sí, tu tía perdida puede estar contactando contigo por correo electrónico con una dirección de correo electrónico de hotmail.com para decirte que te dejará toda su fortuna cuando muera y que necesita que firmes el testamento, pero es muy probable que no sea así. Verifica antes de realizar cualquier acción.
• No hagas clic en un enlace en un correo electrónico hasta que estés absolutamente seguro de que sabes a dónde va y qué va a suceder.
• No proporciones tu información personal a ningún sitio a menos que estés seguro y sepas que es el sitio que crees que es. Si crees que no estás en el sitio correcto, cierra el navegador inmediatamente.
• Siempre que sea posible, utiliza una red privada virtual (VPN) de un proveedor de confianza. No nombraré a mi proveedor de Internet pero diré que no confío en él. Se sabe que facilitan a las personas malas ver el tráfico que atraviesa su red y extraer información tal como la ven. En estos días, casi todos los sitios web usan cifrado para asegurarse de que no sea fácil, pero aún así es posible para las personas con suficiente tiempo, dinero y determinación. Así que siempre que puedo, uso una VPN para cifrar aún más mi tráfico.
  El software de VPN no es caro en estos días, de hecho, si eres un “experto en informática”, puedes descargar, configurar y ejecutar el tuyo propio. No lo recomiendo ya que es fácil equivocarse, pero admito haberlo hecho en el pasado. En estos días, uso una VPN comercial que viene con mi protección contra virus. Ahora, mi vecino no puede ver nada de mi tráfico porque tengo un túnel cifrado entre mi red y un servidor en Miami, FL, EE. UU. (puedo elegir entre 50).
• No uses la misma contraseña en 2 sitios web
  Mira, sé lo difícil que es. Es difícil encontrar una contraseña segura que puedas recordar, y mucho menos las 20-30 que necesitas para asegurarte de que cada sitio sea diferente. Sugiero usar un administrador de contraseñas de una compañía de software acreditada. Hay algunos de ellos. El que uso funciona en Windows, Mac, iOS, iPadOS y Android. Por lo tanto, no importa dónde esté, mis contraseñas están conmigo. Todas mis contraseñas en todos los sitios principales son largas, aleatorias y únicas. Si conoces uno de ellos, no puedes acceder a nada más que a ese servicio para el que lo uso.

Resumen

Mantente a salvo en esta temporada de compras. Diviértete, disfruta de la compañía de la familia, y si recibes un correo electrónico mío diciendo que Bill Gates está dando 1 Bitcoin a cada persona que reenvía este correo electrónico… bueno, entiendes la idea.