{"id":21619,"date":"2021-12-27T14:41:02","date_gmt":"2021-12-27T14:41:02","guid":{"rendered":"https:\/\/easydmarc.com\/blog\/?p=21619"},"modified":"2023-06-09T12:58:32","modified_gmt":"2023-06-09T12:58:32","slug":"como-hacen-los-estafadores-de-phishing-para-obtener-tu-direccion-de-correo-electronico","status":"publish","type":"post","link":"https:\/\/easydmarc.com\/blog\/es\/como-hacen-los-estafadores-de-phishing-para-obtener-tu-direccion-de-correo-electronico\/","title":{"rendered":"\u00bfC\u00f3mo hacen los estafadores de phishing para obtener tu direcci\u00f3n de correo electr\u00f3nico?"},"content":{"rendered":"

Las <\/span>estafas de phishing<\/b> son ataques cibern\u00e9ticos bastante comunes que amenazan a todo tipo de empresa u organizaci\u00f3n. Los piratas inform\u00e1ticos usan esta t\u00e9cnica para atraer a sus v\u00edctimas y hacer que entreguen informaci\u00f3n confidencial, tal como cuentas bancarias, n\u00fameros de tarjetas de cr\u00e9dito y claves de acceso. Naturalmente surge la siguiente interrogante: \u00bfqu\u00e9 podemos hacer cuando un estafador obtiene mi direcci\u00f3n de correo electr\u00f3nico?<\/span><\/p>\n

En la mayor\u00eda de los casos, los atacantes phishers se comunican con sus v\u00edctimas a trav\u00e9s de un correo electr\u00f3nico. Se hacen pasar por empresas leg\u00edtimas o servicios que el usuario utiliza frecuentemente. La fachada m\u00e1s com\u00fan es la solicitud de renovaci\u00f3n de un servicio de suscripci\u00f3n para el cual se solicita el ingreso de detalles de tu tarjeta de cr\u00e9dito.<\/span><\/p>\n

Si el atacante tiene \u00e9xito, tus datos bancarios caen en manos equivocadas y pierdes dinero, o incluso te puedes enfrentar al peor escenario: pierdes el acceso a tu cuenta.<\/span><\/p>\n

Sin embargo, las preguntas puntuales que circulan en tu mente siguen siendo: \u00ab\u00bfc\u00f3mo obtienen los spammers mi direcci\u00f3n de correo electr\u00f3nico\u00bb o \u00ab\u00bfpor qu\u00e9 recibo mensajes de texto por parte de <\/span>direcciones de correo<\/b> que no conozco?\u00bb <\/span><\/p>\n

A continuaci\u00f3n, te damos a conocer las fuentes y m\u00e9todos usados para compilar <\/span>direcciones de correo electr\u00f3nico<\/b>. Tambi\u00e9n te ofrecemos una gu\u00eda para la aplicaci\u00f3n de mecanismos de prevenci\u00f3n al final de este post.<\/span><\/p>\n

Rastreo de direcciones de correo electr\u00f3nico<\/b><\/h2>\n

Los <\/span>estafadores phishing<\/b> emplean m\u00faltiples m\u00e9todos para obtener <\/span>direcciones de correo electr\u00f3nico<\/b>. Estas son algunas de las t\u00e9cnicas m\u00e1s populares usadas.<\/span><\/p>\n

Listas obtenidas en la Dark Web o a trav\u00e9s de proveedores de datos<\/b><\/h3>\n

La <\/span>Dark Web<\/span><\/a> es la parte de la red mundial de internet. B\u00e1sicamente son p\u00e1ginas hospedadas en el fondo de la red que jam\u00e1s son indexadas por motores de b\u00fasqueda tales como Google. El ingreso a esta parte de la red solo es posible a trav\u00e9s de navegadores especiales. El contenido no est\u00e1 disponible de forma abierta usando navegadores comerciales y se necesita conocimiento inform\u00e1tico de mayor nivel para su acceso. Esta zona de la web es considerada un caldo de cultivo para actividades delictivas, incluida la compra y venta de <\/span>direcciones de correo<\/b> y otros datos de \u00edndole confidencial.<\/span><\/p>\n

Un estudio realizado el a\u00f1o 2019 por el Dr. Mike McGuire, inform\u00f3 que al menos el 60 % de los listados que es posible conseguir en la Dark Web podr\u00edan causar da\u00f1os de \u00edndole catastr\u00f3fico a m\u00faltiples empresas y organizaciones. El 6 de abril de 2020, un proveedor de servicios de correo electr\u00f3nico con sede en Rusia llamado email.it, <\/span>registr\u00f3 la venta<\/span><\/a> de los datos de al menos 600.000 de sus usuarios en la Dark Web.<\/span><\/p>\n

Los piratas cibern\u00e9ticos pueden comprar lo que sea en la web oscura, desde informaci\u00f3n de tarjetas de cr\u00e9dito robadas, hasta credenciales de servicios de suscripci\u00f3n, y por supuesto <\/span>direcciones de correo electr\u00f3nico<\/b>, con nombres de usuario y contrase\u00f1as e incluido.<\/span><\/p>\n

Otro m\u00e9todo usado por los piratas inform\u00e1ticos es la compra de listas de credenciales de proveedores de datos. Bases de datos de empresas tales como ZoomInfo, Visitor Queue, InfoDepots o Callbox.<\/span><\/p>\n

Una vez con los datos en su poder, pueden usar esta informaci\u00f3n para llevar a cabo ataques de fuerza bruta o aplicar ingenier\u00eda social, suplantaci\u00f3n de credenciales etc., lo cual trae como resultado, apropiaci\u00f3n de cuentas esenciales para tu negocio.<\/span><\/p>\n

Direcciones de correo electr\u00f3nico disponibles abiertamente en las redes sociales<\/b><\/h3>\n

Las redes sociales son una herramienta poderosa y altamente p\u00fablica. La informaci\u00f3n que ofrecemos a trav\u00e9s de estas es usada por los estafadores para encontrar <\/span>direcciones de correo<\/b>. En la actualidad, al menos el 90% de las personas en l\u00ednea publican informaci\u00f3n sobre su vida profesional y personal en redes sociales.<\/span><\/p>\n

Todo el mundo ofrece con gusto toda la informaci\u00f3n requerida por las plataformas de redes sociales sin pensar en las consecuencias que podr\u00eda acarrear. Esto hace que sea f\u00e1cil para los piratas inform\u00e1ticos obtener <\/span>direcciones de correo<\/b>. Como usuario de redes sociales es necesario recordar que todo lo publicado en nuestro perfil p\u00fablico est\u00e1 expuesto, incluso si tienes amplio dominio de las configuraciones de privacidad.<\/span><\/p>\n

Que no te sorprenda que los piratas inform\u00e1ticos tengan acceso a mucha m\u00e1s data. Durante sus redadas de informaci\u00f3n, estos actores negativos tambi\u00e9n ganan acceso a otros datos personales que pueden ser sensibles. Tambi\u00e9n pueden hacer uso de esta informaci\u00f3n para llevar a cabo <\/span>ataques de phishing<\/b> o de whaling, e incluso comprometer el acceso a una cuenta de correo electr\u00f3nico comercial para suplantar la identidad de tu empresa v\u00eda correo electr\u00f3nico.<\/span><\/p>\n

Las principales plataformas de redes sociales a las cuales phishers tienen acceso para la obtenci\u00f3n de <\/span>direcciones de correo<\/b> incluyen a Facebook, Instagram, Twitter y la m\u00e1s obvia de todas para blancos corporativos: Linkedin.<\/span><\/p>\n

Recolecci\u00f3n de correos electr\u00f3nicos<\/b><\/h3>\n

Las recolecciones de correos electr\u00f3nicos es una t\u00e9cnica usada por los estafadores para obtener <\/span>direcciones de correos<\/b> de sus v\u00edctimas. Los piratas inform\u00e1ticos llevan a cabo su labor programando bots para explorar la web en busca de <\/span>direcciones de correos<\/b>. Estos bots usan el s\u00edmbolo \u00abarroba\u00bb (@) para identificar formatos de correos en sitios web y agregarlos a una lista. El resultado final es que todos los recolectores terminan recopilando miles de direcciones de correo en cuesti\u00f3n de segundos.<\/span><\/p>\n

Uso de sitios web falsos<\/b><\/h3>\n

Muchos estafadores que usan el <\/span>phishing<\/b> desarrollan sitios web espejo que son la viva imagen del sitio real con el fin de recopilar informaci\u00f3n de los usuarios que transitan la p\u00e1gina. En estos tiempos, cualquier negocio te da la opci\u00f3n de suscribirte a una lista de correo o bolet\u00edn informativo del sitio. Al usar un sitio web falso, los usuarios piensan que se est\u00e1n registrando en un sitio leg\u00edtimo, mientras que los piratas inform\u00e1ticos est\u00e1n atentos en segundo plano formulando una estrategia para enviar spam a tu bandeja de entrada.<\/span><\/p>\n

Ingenier\u00eda social y juegos multiplayer en l\u00ednea<\/b><\/h3>\n

La ingenier\u00eda social no es m\u00e1s que la manipulaci\u00f3n de una v\u00edctima a nivel mental y psicol\u00f3gico para que divulguen informaci\u00f3n sensible o confidencial. Esta se lleva a cabo con un alto nivel de interacci\u00f3n humana. El pirata inform\u00e1tico tiene un entendimiento amplio de las emociones humanas y se le hace f\u00e1cil jugar con las emociones provocando la toma de decisiones precipitadas, tal como hacer clic en un enlace de correo electr\u00f3nico etiquetado como \u00aburgente\u00bb.<\/span><\/p>\n

Los juegos y tests que usas frecuentemente y que parecen inofensivos en tus redes sociales no son m\u00e1s que herramientas colectoras de data que es vendida al mejor postor e incluye un perfil completo de tu vida como usuario en la web.  <\/span><\/p>\n

Los juegos multiplayer en l\u00ednea son altamente vulnerables a los ataques de piratas inform\u00e1ticos. No existe una estrategia espec\u00edfica, pero usualmente un actor malicioso realiza una acci\u00f3n que es vista como indebida en la comunidad, lo cual hace que los moderadores del sistema se hagan cargo enseguida.  Lamentablemente esto no garantiza protecci\u00f3n contra otro tipo de percances, por ejemplo, la famosa serie de videojuegos \u201cJust Dance\u201d de Ubisoft sufri\u00f3 una violaci\u00f3n recientemente lo cual provoc\u00f3 una fuga masiva datos de usuarios del juego.<\/span><\/p>\n

\u00bfC\u00f3mo evitar que tu direcci\u00f3n de correo electr\u00f3nico caiga en las manos equivocadas?<\/b><\/h2>\n

Actualmente todos nos comunicamos v\u00eda correo electr\u00f3nico; usamos esta herramienta para el env\u00edo de informaci\u00f3n confidencial a nuestros clientes y socios comerciales. Es por esta raz\u00f3n que la seguridad del correo electr\u00f3nico es tan vital para las empresas y organizaciones modernas.<\/span><\/p>\n

Nadie est\u00e1 ajeno a fallos de seguridad, no importa si la p\u00e1gina solo sirve para fomentar una suscripci\u00f3n, o un bolet\u00edn. Las grandes empresas saben que el activo m\u00e1s valioso que pueden adquirir en la actualidad es la data de sus potenciales clientes. Si estos desean informaci\u00f3n valiosa de estos, especialistas en marketing se encargan de recopilar informaci\u00f3n sobre ti, desde tu nombre, hasta tu correo electr\u00f3nico y la relaci\u00f3n que este tiene con los sitios web que visitas.<\/span><\/p>\n

Realmente no toma mucho. A modo de descuido puedes usar la direcci\u00f3n de correo de tu empresa para obtener un informe, informaci\u00f3n de \u00edndole profesional de un sitio web de inter\u00e9s, o incluso si usas el correo de la compa\u00f1\u00eda para comunicarte con alguien a nivel personal. Todos estos escenarios y muchas m\u00e1s que dejamos por fuera se incluyen en el grupo de riesgo.<\/span><\/p>\n

La pregunta que sigue ser\u00eda: \u00bfqu\u00e9 pueden hacer los estafadores con tu direcci\u00f3n de correo? El envi\u00f3 de spam a tu bandeja de entrada es solo la punta del iceberg; tambi\u00e9n pueden usar el correo para apropiar otras cuentas, puede ser usado para recopilar tus contactos, o incluso para robar informaci\u00f3n confidencial de estos y llevar a cabo ataques de intermediarios.<\/span><\/p>\n

Hemos recopilado algunos consejos para evitar estas situaciones y los hemos clasificado por etapas. Aprende a estar al tanto de d\u00f3nde se ha usado tu direcci\u00f3n de correo y si ha ca\u00eddo en manos equivocadas.<\/span><\/p>\n

Antes de registrarse o anotarse en un listado<\/b><\/h3>\n

Todo comienza en el momento en que decides suscribirte a un servicio o recibir un bolet\u00edn informativo. Estos son los consejos que debes seguir antes de anotar tu correo electr\u00f3nico, as\u00ed como cualquier otro detalle personal como tu nombre y edad en cualquier sitio web.<\/span><\/p>\n

Lee los t\u00e9rminos y condiciones de las aplicaciones de terceros antes de proceder con el registro<\/b><\/p>\n

Al momento de registrarte en cualquier aplicaci\u00f3n se te presenta una extensa lista de t\u00e9rminos y condiciones que debes leer y aceptar antes de continuar. Todas las aplicaciones tienen una casilla con una leyenda que dice algo similar a este texto: \u00abHe le\u00eddo y acepto los t\u00e9rminos y condiciones indicados\u00bb sobre la cual debes hacer clic.<\/span><\/p>\n

La gran mayor\u00eda de los usuarios aceptan estos t\u00e9rminos legales sin siquiera leerlos, lo cual por supuesto no es la mejor pr\u00e1ctica. Leer los t\u00e9rminos y condiciones te da m\u00e1s informaci\u00f3n sobre el negocio con el que est\u00e1s interactuando, lo cual puede ayudarte a evitar problemas de privacidad.<\/span><\/p>\n

Consulta sobre la informaci\u00f3n que compilan las extensiones y c\u00f3mo la utilizan<\/b> <\/span><\/p>\n

Las extensiones son programas inform\u00e1ticos que agregan nuevas funciones a un programa base sin hacer cambios notorios en su estructura. La mayor\u00eda de las extensiones recopilan datos personales, tales como nombres, direcciones y otra informaci\u00f3n que te identifica como usuario.<\/span><\/p>\n

Cuando sepas que tipo de informaci\u00f3n recopilan tus extensiones y c\u00f3mo la manejan, puedes tomar decisiones m\u00e1s informadas para proteger tu informaci\u00f3n y tu persona.<\/span><\/p>\n

No registres tu correo electr\u00f3nico en sitios web en los que no conf\u00edas<\/b><\/p>\n

Muchos blogs, sitios web y foros solicitan que ingreses tu direcci\u00f3n de correo antes de acceder al contenido que ofrecen. Te recomendamos que evites dejar datos personales en sitios web que no sean de tu confianza. Si de verdad te interesa explorar el sitio web, usa una direcci\u00f3n de correo desechables.<\/span><\/p>\n

Si eres usuario Apple est\u00e1s de suerte, ya que la compa\u00f1\u00eda ofrece a sus usuarios de iPhone la opci\u00f3n de ocultar su correo electr\u00f3nico durante los procesos de:<\/span><\/p>\n