Uno de los mayores problemas para los usuarios y proveedores de correo electrónico es el correo no deseado o spam. Lejos de llegar a ser molesto últimamente se ha convertido en un problema por contener estafas, programas maliciosos, cebos o señuelos y una serie de peligros considerable contra el que luchan empresas y usuarios, ¿conoces estas amenazas?
Desde que trabajo en Ámsterdam la empresa se ha dedicado a darnos un curso a todos los trabajadores de forma constante sobre las amenazas en la red. Uno de los mayores énfasis lo mostraron en emails recibidos de forma no deseada a nuestros correos electrónicos que constituían señuelos o cebos para obtener información valiosa del trabajador y procurarse un acceso a material confidencial.
En principio, tal y como he mostrado en la imagen de este artículo, voy a comentar un poco por encima qué es el spam, el porqué de usar ese nombre, qué tipos de spam existen, qué riesgos entrañan para las personas y empresas y cómo luchar contra ellos.
El origen del SPAM
Existe un sketch de Monty Python donde después de listar los productos para comer en un bar, donde se repite mucho spam en todos los platos la clienta grita: no me gusta el spam. Lo cual fue muy empleado en los 90 dentro de grupos de usuarios para indicar textos, mensajes o comentarios que no eran de agrado de los grupos donde se hacían.
Cabe destacar como reseña que Monty Python fue también la inspiración para denominar al lenguaje de programación Python por parte de Guido van Rossum.
¿Qué tipos de SPAM existen?
Recibir correo electrónico no solicitado puede tener varios motivos. Algunos más lícitos que otros. Por un lado se encuentran los típicos correos electrónicos publicitarios de empresas que intentan vender sus productos (legales o ilegales), mensajes de llamada a la acción para revisar un contenido, virus encubiertos a través de mensajes con adjuntos con extensiones muy dudosas, estafas o chantajes falsos para conseguir tu contacto en el mejor de los casos y señuelos para conseguir credenciales.
En estos últimos días levanté el filtro de spam de mi correo electrónico para intentar obtener un buen surtido de correos electrónicos y mostrar con ejemplos cada uno de los apartados anteriores. Vamos a revisarlos.
Correos electrónicos publicitarios
Este tipo es el más inofensivo de todos. En el peor de los casos nos intentarán vender productos ilegales como armas, viagra, drogas o productos dignos de teletienda.
No he comprobado la veracidad de estas compras. Es decir, en caso de querer adquirir algún producto lícito de correos electrónicos parecidos a teletienda (los otros sería delito y seguramente una estafa), no estoy muy seguro que tras realizar el pago recibiésemos de forma correcta y con garantías el producto en casa.
El caso clásico es la venta de productos. Me hizo gracia este ejemplo que recibo con cierta periodicidad de una empresa que siempre cambia tanto de dominio desde donde envían los emails como de nombre de empresa que realiza la venta de esta base de datos de empresas. Podría considerarlo también estafa pero como no pude comprobarlo quiero pensar que esta empresa realmente vende un producto, quizás de baja calidad y no muy útil, pero ahí está:
Recientemente recibí también información para vender más a través de la realización de vídeos de márketing. Esta sí comprobé que es una empresa real y siempre han enviado los emails de forma correcta. El problema de porqué suele marcarse como spam es porque yo no solicité ser agregado en su lista de difusión. Los correos electrónicos no deseados que nos venden ciertos productos deben constar de ciertos elementos para poder pasar el filtro. Uno de ellos es un enlace en el email para que el usuario pueda eliminar su suscripción y evitar recibir más emails. El otro es una cabecera no visible por el usuario pero sí por el proveedor de correo electrónico que avisa de la naturaleza del correo electrónico. Este caso concreto carece de la información para el proveedor:
Otro ejemplo es el de algunos profesionales que venden sus servicios a empresas y envían un mensaje ofreciendo todos sus servicios y contacto personal. Recibí recientemente este mensaje de un transcriptor de vídeos. Este mensaje se trata como spam porque carece tanto del enlace dentro del mensaje como de la cabecera:
Como nota y si os dedicáis o queréis enviar alguna vez algún email de este tipo, lo ideal es enviarlo desde alguna plataforma que se identifique como email promocional y no viole ninguna de las leyes de privacidad además de que se identifique de forma correcta para proveedores de correo tan exigentes como GMail. Proveedores como mailchimp, sender, mailup, mailjet o sendinblue entre otros realizan bastante bien esta acción.
Además, en este tipo de correos electrónicos hay que destacar los enviados por empresas o personas afiliadas. Hay empresas que disponen de programas de afiliación. Estos programas consisten en permitir a otras empresas o personas realizar la labor de comerciales para ellos proporcionando enlaces especiales con un código. Todas las ventas realizadas a través de estos enlaces generan una comisión para el intermediario sin incidir en un incremento de coste para el usuario. Hasta aquí todo bien. El problema puede radicar en la forma de desuscribirnos de estos sitios, aquí podemos ver:
En este caso podemos ver el nombre del dominio al que iremos para la desuscripción que no tiene nada que ver con la empresa que se anuncia. Además, el email en este caso es BarkBox@diabet980.bid por lo que podemos deducir que la persona o empresa responsable del dominio diabet980.bid adquirió ese dominio para colgar unas páginas de publicidad y publicitar productos de ciertas empresas que le dan una comisión por venta de productos. En muchos casos da igual que nos desuscribamos de esa lista. Quien la creó sabe bien que adquiriendo otro dominio (esos .bid de hecho cuestan céntimos) puede volver a emplear la misma lista sin problemas.
Dentro del marco de ventas poco legales puedo mencionar la compra de suscriptores por ejemplo, de likes o de actividad en general para un perfil específico ya sea de Instagram:
También de igual forma con Facebook:
Y también con Twitter:
Realmente no creo que puedan denunciarte por realizar una venta de este estilo ni mucho menos por comprar este tipo de servicio. Pero se vulneran los términos de uso de las redes sociales implicadas cuando se adquieren. Si alguna de las redes sociales incluyese en sus términos de uso incluyendo multas económicas por este tipo de prácticas se podrían meter en problemas muchas personas e incluso partidos políticos.
Mensajes de Llamada a la Acción
Esta sección podría tener muchos nombres. La mayoría de correos electrónicos que se reciben de este tipo son mensajes que incitan al odio, de carácter sentimental, amarillistas, prensa rosa (salseo) y principalmente falsas.
Las empresas o personas que envían este tipo de mensajes buscan conseguir visitas a páginas web repletas de publicidad. Estas páginas además contienen muchos más enlaces llamativos y con titulares similares para intentar no perder la atención del visitante y que siga navegando y viendo otras páginas.
Normalmente no suelen tener mucho peligro. Solamente la responsabilidad social o moral de emitir mensajes de odio, principalmente con titulares falsos pero creíbles como controversias realizadas por el ex-presidente de los Estados Unidos Barack Obama:
Pero también sobre secretos de ciertos productos milagrosos como el vinagre de manzana para ayudar a adelgazar:
O también los efectos del dead water en la salud de nuestros mayores en particular pero aplicable a todos en general:
Ciertos productos a día de hoy sabemos que son un engaño y los artículos de investigación en los que se basan jamás existieron. Con estos mensajes los promotores intentan llegar rápido, intentan convencer personas para que compren haciéndoles creer que es un precio insuperable, de forma rápida generando mucho ruido y justo cuando se descubre el engaño, desaparecen con las ganancias de vender agua y vinagre (en estos casos) a precio de oro.
Estafas (scam)
Un escalón más allá van estos mensajes exponiendo estafas aún más graves. Estos correos electrónicos son bastante peligrosos. Se basan en la sensibilidad de las personas sobre ciertos temas como obtener curas milagrosas para enfermedades tan serias como el cáncer o la diabetes. Aluden a la desesperación de quienes sufren de estas enfermedades para obtener dinero.
En este caso he obtenido emails que prometen corregir episodios de mareos y vértigos crónicos:
También algo tan complejo como adelgazar o eliminar algún tipo de adicción de forma mágica, tal y como dice este anuncio para dejar de fumar:
U otro remedio milagroso para corregir nuestra columna vertebral y eliminar el dolor de espalda y cuello de forma fácil y rápida:
Todos ellos falsos. Normalmente, si quieres saber si algo es real o no lo que debes hacer es buscar información a través de Internet. Nunca presiones los enlaces de esos correos electrónicos porque te llevarán a páginas escritos por ellos mismos donde te engañarán con todo el material que prepararon para ello.
Chantajes falsos (sextortion)
Estos son tipos de mensajes que han ido apareciendo recientemente. Lo curioso es la forma, todos son exactamente iguales, dan la misma información y tienen una forma similar. Todas se basan en una plantilla similar cambiando algunas palabras pero comienzan de la misma forma.
El problema viene a raiz de varios sitios que fueron explotados y se obtuvieron emails asociados a claves. Hay una amplia mayoría de usuarios que emplea la misma clave para todo y esto hizo posible acceder y hacerse con cuentas de correo de algunos usuarios haciendo estragos.
Los emails de chantaje que comenzaron a aparecer tienen todos la misma estructura:
- Intentan mostrar que saben algo de ti. De forma vaga. Realmente lo único que saben de ti es tu email y la clave del sitio que fue explotado. Pero dan a entender que disponen de más información.
- ¿Tienen tus contactos? Es factible si la clave explotada corresponde a la del email donde te enviaron la información, pero es improbable dado que a todos les envían esa misma plantilla sin mostrar más datos de que sea verdad. Dicen que a modo de ejemplo envían el email desde otro contacto tuyo. No suelen acertar en este hecho.
- Especifican el contenido sensible sobre ti y cómo lo consiguieron. En principio aluden a que gracias al acceso a tu correo instalaron un malware en tu navegador y cuando visitaste una página de contenido para adultos (da igual si lo hiciste o no, realmente no especifican cuál fue) activaron la cámara de tu equipo y grabaron lo que veías y lo que hacías.
- El chantaje. La parte importante para ellos. Te dan dos opciones: pagar una suma en una cuenta de bitcoin que te facilitan en un tiempo muy corto o enviar ese vídeo a todos tus contactos. Hay que señalar que algunos te proporcionan un enlace para que sepas cómo ingresarles ese dinero y otros te dicen que te busques la vida por Internet.
- El tiempo comienza contar por el píxel. No todos los mensajes tienen este píxel pero de tenerlo sería un grave error para quien chantajea. Esa información sí sería traceable hasta llegar a él. En estas capturas presento los espacios donde se cargarían estas imágenes.
Aquí se puede ver otra:
Hay que reseñar varias cosas. La primera es que este contenido es muy parecido al presentado en el capítulo Cállate y baila donde al personaje principal se le chantajea para que realice una serie de acciones o su grabación será distribuida a todo Internet.
La diferencia en este caso es que ellos realmente no tienen nada. Las claves de un chantaje son dar información específica de qué tienes. Por ejemplo una captura de pantalla de ese vídeo. Además, un pequeño listado de 10 personas de los contactos sería útil para dar señas de que sabes quienes son sus contactos y cómo contactarles.
No digo que no pueda darse el caso de que un virus o un troyano se haya podido instalar en nuestro equipo y en último caso incluso pueda monitorizarnos. Pero no tendría mucha utilidad. Habría que estar monitorizando 24 horas diarias a todos los interesados hasta conseguir obtener el material que se busca, con el consiguiente gasto de tiempo y espacio para ir almacenando todo.
En estos casos se ha demostrado: todos estos casos de chantaje son falsos y deben ser ignorados.
Virus, gusanos y/o troyanos encubiertos
Uno de los más peligrosos mensajes recibidos son los virus, gusanos y troyanos. Todos ellos son conocidos bajo el nombre de malware. Este malware nos llega encubierto en mensajes cotidianos. Nos puede chocar por ejemplo recibir mensajes de BBVA, Santander o LaCaixa, y sobretodo si no tenemos cuenta en esas entidades avisándonos siempre del carácter urgente.
Son bastante peligrosos pero gracias a las medidas de seguridad de las entidades bancarias. Incluso en el caso de que obtengan tus códigos de acceso no podrán realizar transferencias por no disponer del sistema de confirmación para realizar el traspaso del dinero a otras cuentas.
En otros sitios web como PayPal o en sistemas donde se administra dinero y elementos digitales como dominios, servidores o bases de datos de usuarios serían más dañino que estos intrusos consiguiesen accesos. Por ese motivo las empresas ponen mucho énfasis en enseñar a sus empleados a detectar y evitar este tipo de ataques.
Para hacernos una idea de qué se puede recibir que es maligno. Hay desde archivos Excel con macros dañinas para nuestro sistema o con la capacidad de instalar software malicioso (malware):
En las nuevas versiones de Microsoft Office al intentar abrir archivos de Excel cargados con este tipo de macros genera un aviso y la confirmación de si queremos realmente ejecutar esas macros. En principio en estos casos hay que evitar siempre descargar el fichero y si por algún motivo debemos abrirlo estar atentos a la pregunta de si ejecutar las macros para responder siempre: no.
Hay otros ficheros adjuntos encubiertos. En princpio el nombre suele ser muy largo para evitar descubrir su extensión como vemos aquí:
El nombre del fichero tiene la extensión r00
la cual se corresponde con RAR
, un sistema de compresión de ficheros. Dentro del nombre la última parte es ,pdf
. De esta forma intentan que el usuario crea o vea el fichero como si fuese un documento PDF normal:
En ciertos sistemas nada más bajarlo y descomprimirlo se ejecuta el fichero binario contenido dentro dando lugar al ataque. Los sistemas nuevos Mac y Windows avisan sobre el origen del fichero para saber si confiar en ejecutarlo. El problema es si el usuario está convencido de estar abriendo un fichero PDF y no lee el aviso decidiendo abrirlo de todas formas.
Por último, otro ejemplo de un fichero comprimido y con supuesta extensión _doc
pero en realidad tiene extensión .gz
, es decir, está comprimido con gzip
. El email hace referencia al envío de un presupuesto. Depende de nuestro trabajo, si solemos recibir peticiones de clientes de diversos formatos esto podría confundirnos y considerar lícito el mensaje. No obstante, al igual que con los chantajes, el texto es poco elaborado, muy general, no dice en ningún momento qué tipo de productos requiere u ofrece, depende de si el email es acerca de un pedido de compra o de venta:
De igual forma que el anterior si intentamos bajar este fichero y se ejecuta en nuestro sistema podríamos infectarnos. Recuerda que este tipo de malware puede llegar a infectar Windows, Mac o incluso GNU/Linux. No confíes en fuentes desconocidas.
Señuelos o Cebos (physing)
Hay veces que los spammers no requieren nada más que sanear sus listas de correos electrónicos para venderlas a empresas (tal y como vimos anteriormente). Estos correos electrónicos se elaboran intentando simular la comunicación de algún sistema o una comunicación con un proveedor para instar a ese usuario a presionar sobre un botón o enlace y ser redirigido a una página donde se almacenarán los datos que intente emplear para autenticarse.
En este ejemplo el usuario espera que envíemos los datos que solicita a esa dirección de correo electrónico. Es un caso muy común. Los spammers de este tipo envían el email desde una dirección falsa normalmente. Si el proveedor de correo electrónico les cierra la cuenta por este tipo de uso es cuando deben hacer otra y seguir funcionando. Por ese motivo es por el que dentro del cuerpo del mensaje se incluye el contacto de la persona interesada en recibir esa información.
En este caso nos dicen de enviar un email a una cuenta de un supuesto banco. Digo supuesto porque aunque Sainsbury Bank existe en UK, el dominio de la dirección de correo es sainsburys.groupinc.co.uk
. Nos da indicaciones de qué debemos incluir y enviárselo.
Otro caso es el de los préstamos de dinero ilícitos. En este caso no quieren hacernos creer que son bancos. De hecho los emails se envían desde cuentas personales. En el mensaje suele indicarse otra dirección de email a la que te piden que envíes tus datos, tu respuesta.
Cuando recibas un email de este tipo ignóralo. No cargues las imágenes del email porque podrían enviar información a quien lo envió en primer lugar. Si quieres una confirmación abre el navegador y busca en Google dónde se encuentra la web oficial de la empresa que dicen representar. Revisa las URLs encontradas en Google y la proporcionada por el correo electrónico para saber si debes confiar en ese contenido.
Conclusiones
El correo electrónico es el método de entrada de Internet a nuestras vidas diarias. Cuando navegamos usando un buscador y vamos a una página web suele ser una actividad pasiva por parte de Internet y nosotros tenemos el control de a qué páginas vamos, qué vemos y si confiamos en visitar o no ciertas páginas. Con los correos electrónicos se invierte esta actividad, Internet es quien nos contacta, los demás usuarios y empresas nos envían información muchas veces necesaria, útil o significativa y otras veces nada de esto o incluso perjudicial o dañina. Este es el motivo por el que la lucha contra el Spam es tan importante y porqué parte de educar a los ciudadanos sobre qué es y cómo combatirlo. Existen utilidades para ayudarnos a minimizar la exposición a estos mensajes pero no son una panacea y siempre hay mensajes que escapan a sus filtros. Puede crearnos una sensación de falsa seguridad tener activos filtros de este tipo y estar seguros de abrir cualquier mensaje y caer en lo más básico.
Por ello, no te dejes engañar. Revisa bien los emails que recibes no confíes en comunicaciones de bancos o servicios requiriendo información de vuelta a direcciones de correo extrañas o ir a dejar información en páginas sin cifrar (sin HTTPS) donde te piden todos tus datos sin más. ¡Estate alerta y seguro!
Y ahora tú, ¿has tenido alguna mala experiencia con el spam? ¿conoces a alguien que haya sido estafado a través de emails? ¿quieres saber más o tienes dudas sobre alguno de los apartados? ¡Déjanos tu comentario!