¿Cómo hacen los estafadores de phishing para obtener tu dirección de correo electrónico? | EasyDMARC

¿Cómo hacen los estafadores de phishing para obtener tu dirección de correo electrónico?

14 min de lectura
.

Las estafas de phishing son ataques cibernéticos bastante comunes que amenazan a todo tipo de empresa u organización. Los piratas informáticos usan esta técnica para atraer a sus víctimas y hacer que entreguen información confidencial, tal como cuentas bancarias, números de tarjetas de crédito y claves de acceso. Naturalmente surge la siguiente interrogante: ¿qué podemos hacer cuando un estafador obtiene mi dirección de correo electrónico?

En la mayoría de los casos, los atacantes phishers se comunican con sus víctimas a través de un correo electrónico. Se hacen pasar por empresas legítimas o servicios que el usuario utiliza frecuentemente. La fachada más común es la solicitud de renovación de un servicio de suscripción para el cual se solicita el ingreso de detalles de tu tarjeta de crédito.

Si el atacante tiene éxito, tus datos bancarios caen en manos equivocadas y pierdes dinero, o incluso te puedes enfrentar al peor escenario: pierdes el acceso a tu cuenta.

Sin embargo, las preguntas puntuales que circulan en tu mente siguen siendo: «¿cómo obtienen los spammers mi dirección de correo electrónico» o «¿por qué recibo mensajes de texto por parte de direcciones de correo que no conozco?» 

A continuación, te damos a conocer las fuentes y métodos usados para compilar direcciones de correo electrónico. También te ofrecemos una guía para la aplicación de mecanismos de prevención al final de este post.

Rastreo de direcciones de correo electrónico

Los estafadores phishing emplean múltiples métodos para obtener direcciones de correo electrónico. Estas son algunas de las técnicas más populares usadas.

Listas obtenidas en la Dark Web o a través de proveedores de datos

La Dark Web es la parte de la red mundial de internet. Básicamente son páginas hospedadas en el fondo de la red que jamás son indexadas por motores de búsqueda tales como Google. El ingreso a esta parte de la red solo es posible a través de navegadores especiales. El contenido no está disponible de forma abierta usando navegadores comerciales y se necesita conocimiento informático de mayor nivel para su acceso. Esta zona de la web es considerada un caldo de cultivo para actividades delictivas, incluida la compra y venta de direcciones de correo y otros datos de índole confidencial.

Un estudio realizado el año 2019 por el Dr. Mike McGuire, informó que al menos el 60 % de los listados que es posible conseguir en la Dark Web podrían causar daños de índole catastrófico a múltiples empresas y organizaciones. El 6 de abril de 2020, un proveedor de servicios de correo electrónico con sede en Rusia llamado email.it, registró la venta de los datos de al menos 600.000 de sus usuarios en la Dark Web.

Los piratas cibernéticos pueden comprar lo que sea en la web oscura, desde información de tarjetas de crédito robadas, hasta credenciales de servicios de suscripción, y por supuesto direcciones de correo electrónico, con nombres de usuario y contraseñas e incluido.

Otro método usado por los piratas informáticos es la compra de listas de credenciales de proveedores de datos. Bases de datos de empresas tales como ZoomInfo, Visitor Queue, InfoDepots o Callbox.

Una vez con los datos en su poder, pueden usar esta información para llevar a cabo ataques de fuerza bruta o aplicar ingeniería social, suplantación de credenciales etc., lo cual trae como resultado, apropiación de cuentas esenciales para tu negocio.

Direcciones de correo electrónico disponibles abiertamente en las redes sociales

Las redes sociales son una herramienta poderosa y altamente pública. La información que ofrecemos a través de estas es usada por los estafadores para encontrar direcciones de correo. En la actualidad, al menos el 90% de las personas en línea publican información sobre su vida profesional y personal en redes sociales.

Todo el mundo ofrece con gusto toda la información requerida por las plataformas de redes sociales sin pensar en las consecuencias que podría acarrear. Esto hace que sea fácil para los piratas informáticos obtener direcciones de correo. Como usuario de redes sociales es necesario recordar que todo lo publicado en nuestro perfil público está expuesto, incluso si tienes amplio dominio de las configuraciones de privacidad.

Que no te sorprenda que los piratas informáticos tengan acceso a mucha más data. Durante sus redadas de información, estos actores negativos también ganan acceso a otros datos personales que pueden ser sensibles. También pueden hacer uso de esta información para llevar a cabo ataques de phishing o de whaling, e incluso comprometer el acceso a una cuenta de correo electrónico comercial para suplantar la identidad de tu empresa vía correo electrónico.

Las principales plataformas de redes sociales a las cuales phishers tienen acceso para la obtención de direcciones de correo incluyen a Facebook, Instagram, Twitter y la más obvia de todas para blancos corporativos: Linkedin.

Recolección de correos electrónicos

Las recolecciones de correos electrónicos es una técnica usada por los estafadores para obtener direcciones de correos de sus víctimas. Los piratas informáticos llevan a cabo su labor programando bots para explorar la web en busca de direcciones de correos. Estos bots usan el símbolo «arroba» (@) para identificar formatos de correos en sitios web y agregarlos a una lista. El resultado final es que todos los recolectores terminan recopilando miles de direcciones de correo en cuestión de segundos.

Uso de sitios web falsos

Muchos estafadores que usan el phishing desarrollan sitios web espejo que son la viva imagen del sitio real con el fin de recopilar información de los usuarios que transitan la página. En estos tiempos, cualquier negocio te da la opción de suscribirte a una lista de correo o boletín informativo del sitio. Al usar un sitio web falso, los usuarios piensan que se están registrando en un sitio legítimo, mientras que los piratas informáticos están atentos en segundo plano formulando una estrategia para enviar spam a tu bandeja de entrada.

Ingeniería social y juegos multiplayer en línea

La ingeniería social no es más que la manipulación de una víctima a nivel mental y psicológico para que divulguen información sensible o confidencial. Esta se lleva a cabo con un alto nivel de interacción humana. El pirata informático tiene un entendimiento amplio de las emociones humanas y se le hace fácil jugar con las emociones provocando la toma de decisiones precipitadas, tal como hacer clic en un enlace de correo electrónico etiquetado como «urgente».

Los juegos y tests que usas frecuentemente y que parecen inofensivos en tus redes sociales no son más que herramientas colectoras de data que es vendida al mejor postor e incluye un perfil completo de tu vida como usuario en la web.  

Los juegos multiplayer en línea son altamente vulnerables a los ataques de piratas informáticos. No existe una estrategia específica, pero usualmente un actor malicioso realiza una acción que es vista como indebida en la comunidad, lo cual hace que los moderadores del sistema se hagan cargo enseguida.  Lamentablemente esto no garantiza protección contra otro tipo de percances, por ejemplo, la famosa serie de videojuegos “Just Dance” de Ubisoft sufrió una violación recientemente lo cual provocó una fuga masiva datos de usuarios del juego.

¿Cómo evitar que tu dirección de correo electrónico caiga en las manos equivocadas?

Actualmente todos nos comunicamos vía correo electrónico; usamos esta herramienta para el envío de información confidencial a nuestros clientes y socios comerciales. Es por esta razón que la seguridad del correo electrónico es tan vital para las empresas y organizaciones modernas.

Nadie está ajeno a fallos de seguridad, no importa si la página solo sirve para fomentar una suscripción, o un boletín. Las grandes empresas saben que el activo más valioso que pueden adquirir en la actualidad es la data de sus potenciales clientes. Si estos desean información valiosa de estos, especialistas en marketing se encargan de recopilar información sobre ti, desde tu nombre, hasta tu correo electrónico y la relación que este tiene con los sitios web que visitas.

Realmente no toma mucho. A modo de descuido puedes usar la dirección de correo de tu empresa para obtener un informe, información de índole profesional de un sitio web de interés, o incluso si usas el correo de la compañía para comunicarte con alguien a nivel personal. Todos estos escenarios y muchas más que dejamos por fuera se incluyen en el grupo de riesgo.

La pregunta que sigue sería: ¿qué pueden hacer los estafadores con tu dirección de correo? El envió de spam a tu bandeja de entrada es solo la punta del iceberg; también pueden usar el correo para apropiar otras cuentas, puede ser usado para recopilar tus contactos, o incluso para robar información confidencial de estos y llevar a cabo ataques de intermediarios.

Hemos recopilado algunos consejos para evitar estas situaciones y los hemos clasificado por etapas. Aprende a estar al tanto de dónde se ha usado tu dirección de correo y si ha caído en manos equivocadas.

Antes de registrarse o anotarse en un listado

Todo comienza en el momento en que decides suscribirte a un servicio o recibir un boletín informativo. Estos son los consejos que debes seguir antes de anotar tu correo electrónico, así como cualquier otro detalle personal como tu nombre y edad en cualquier sitio web.

Lee los términos y condiciones de las aplicaciones de terceros antes de proceder con el registro

Al momento de registrarte en cualquier aplicación se te presenta una extensa lista de términos y condiciones que debes leer y aceptar antes de continuar. Todas las aplicaciones tienen una casilla con una leyenda que dice algo similar a este texto: «He leído y acepto los términos y condiciones indicados» sobre la cual debes hacer clic.

La gran mayoría de los usuarios aceptan estos términos legales sin siquiera leerlos, lo cual por supuesto no es la mejor práctica. Leer los términos y condiciones te da más información sobre el negocio con el que estás interactuando, lo cual puede ayudarte a evitar problemas de privacidad.

Consulta sobre la información que compilan las extensiones y cómo la utilizan 

Las extensiones son programas informáticos que agregan nuevas funciones a un programa base sin hacer cambios notorios en su estructura. La mayoría de las extensiones recopilan datos personales, tales como nombres, direcciones y otra información que te identifica como usuario.

Cuando sepas que tipo de información recopilan tus extensiones y cómo la manejan, puedes tomar decisiones más informadas para proteger tu información y tu persona.

No registres tu correo electrónico en sitios web en los que no confías

Muchos blogs, sitios web y foros solicitan que ingreses tu dirección de correo antes de acceder al contenido que ofrecen. Te recomendamos que evites dejar datos personales en sitios web que no sean de tu confianza. Si de verdad te interesa explorar el sitio web, usa una dirección de correo desechables.

Si eres usuario Apple estás de suerte, ya que la compañía ofrece a sus usuarios de iPhone la opción de ocultar su correo electrónico durante los procesos de:

  • Creación de cuenta
  • Envío de correo a un destinatario desconocido
  • Suscripciones a un boletín

Esta función te permite generar correos desechables, por lo que no necesitarás enviar tu correo privado para confirmación. Ten presente que una vez que tu dirección de correo está expuesta, esto puede propagarse rápidamente a otros contactos en tu lista.

Infórmese sobre las amenazas cibernéticas

Todo lo que desconozcas puede traducirse en riesgos de seguridad para ti o tu empresa. Esto sirve para resaltar la importancia de programas de capacitación en seguridad cibernética, ya que estos son vitales para reducir los ataques cibernéticos. El phishing y la ingeniería social se encuentran entre las amenazas más relevantes en la red. Las soluciones que van a la defensiva no son suficientes por sí solas para protegerte contra amenazas cibernéticas de avanzada.

Empresas y organizaciones necesitan educar a sus empleados para la protección de sus correos electrónicos y para la exitosa identificación de ataques phishing. Ten presente que los estafadores que usan el phishing no son los que afectan negativamente a la empresa, son los empleados que se ven afectados por estos ataques y otorgan acceso a la data de la compañía. 

Comprobaciones periódicas del estatus de tus cuentas

Mantenerse al día con los informes de amenazas cibernéticas y vigilar nuestras cuentas en las usamos nuestro correo electrónico como forma de acceso es primordial. 

¿Sabías que recientemente, en octubre de 2021, Facebook experimentó una interrupción de servicio que resultó en una fuga masiva de datos? La información confidencial de más de 1.500 millones de usuarios de Facebook estaba a la venta en la Dark Web. Esta información incluía nombres, direcciones de correo, ubicación geográfica, sexo, números de teléfono y mucho más.

Haveibeenpwned.com es una fantástica herramienta en línea que te dice si tu correo ha sido afectado en alguna fuga de datos. Solo ingresa tu dirección de correo y el sitio la verificará rápidamente en múltiples registros compilatorios de violación de datos. La página también nombra la aplicación o sitio web que comprometió tu dirección de correo electrónico.

Que hacer después de una violación de datos

Comprobar es un paso importante, pero ¿qué podemos hacer si un estafador tiene tu dirección de correo? No te preocupes, hay soluciones que puedes adoptar al instante:

  • Cambia la contraseña en todas las aplicaciones de terceros con frecuencia: así garantizas que los piratas informáticos jamás puedan penetrar o atacar tu cuenta.
  • Mantén contacto con el equipo de atencion al cliente: mantener la comunicación con el servicio de atención al cliente de cualquier aplicación sirve para preguntarles sobre las infracciones que se cometen y los pasos que debes tomar para protegerte.
  • Elimina las cuentas que no uses o darte de baja: si no deseas más interacción con la aplicación o el boletín, simplemente elimina la cuenta o date de baja de sus listas de correo.

Estos consejos pocas veces revierten las consecuencias de un ataque consumado, pero te permiten recuperar la sensación de seguridad a partir de ese momento y aplicar los correctivos con mayor frecuencia a futuro.

Conclusión

Las estafas de phishing no son nuevas, ni van a desaparecer a corto plazo. Sin embargo, la seguridad de tus datos siempre estará en tus manos. Puedes ser un particular intentando proteger tu cuenta de correo electrónico contra el phishing o el director ejecutivo de una empresa grande que busca proteger la infraestructura de su compañía y sus activos comerciales; ambos deben lidiar por igual con protección anti-phishing.

Dados los diversos métodos que usan los piratas informáticos para recopilar correos, debes mantenerte alerta y verificar la infraestructura de correo electrónicos de tu compañía contra amenazas en línea. La parte más importante de este ejercicio es que debes aprender a evitar que tu correo electrónico caiga en las manos equivocadas.

Consume toda la información posible sobre seguridad cibernética, lee los términos y condiciones de las aplicaciones de terceros que piensas instalar antes de registrarte y refresca las contraseñas de tus cuentas existentes con regularidad.

¡Lo más importante es mantenerse a salvo!

¿Qué tan seguros son tus correos electrónicos? Te explicamos en qué consiste la seguridad de tu correo electrónico

Cómo agregar un registro DMARC a AWS DNS-Route 53

Cómo agregar un registro DMARC a tus DNS en Azure

Cómo Agregar Registros DMARC en GoDaddy en tres simples pasos

Cómo añadir DMARC a un DNS Cloudflare en 5 minutos