Aunque a nivel de plataforma las organizaciones pueden implementar herramientas para hacer que el servicio de correo electrónico sea más seguro y confiable, la decisión final de validar y abrir un correo está en poder del usuario, quien debe asegurarse de que solamente abre correos legítimos. A continuación, diez recomendaciones para ayudarnos a detectar un email falso.
Por Ing. Miguel M. Arias
El correo electrónico o email es un medio de comunicación ampliamente utilizado, no solo en nuestro país, sino también en el resto del mundo.
Estudios recientes indican que tanto la cantidad de usuarios de email como la cantidad de email enviados y recibidos seguirán en aumento durante los próximos tres años. Estos señalan que en el 2020, la cantidad de usuarios de correo en el mundo alcanzó la cifra de 4 billones y se predice que tendrá un crecimiento de un 3% durante los próximos tres años, equivalentes a 100 millones de nuevos usuarios cada año.
Si consideramos que la población mundial es de unos 7.6 billones de habitantes, podemos afirmar que, aproximadamente, la mitad de la población del mundo tiene email. Estos 4 billones de usuarios enviaron y recibieron unos 306.4 billones de email, diariamente. Esto representa, unos 300 millones de emails por segundo.
El correo electrónico seguirá siendo parte importante de nuestro entorno, tanto para uso empresarial como para uso personal. Para muchos el correo electrónico es una herramienta de trabajo esencial. Desafortunadamente, el mail es usado por ciberdelincuentes como un arma poderosa para perpetrar ataques que pueden tener consecuencias catastróficas para las organizaciones en las que nos desempeñamos.
Nuestros empleados hoy reciben y envían más correos electrónicos, en parte debido al trabajo remoto, como consecuencia de teletrabajo. Los ciberdelincuentes usan el correo electrónico para el robo de identidad, secuestro de activos de información (ramsomware), phishing, virus y muchos otros programas maliciosos. Como consecuencia, el riesgo de ciberataques vía correo electrónico es mayor cada día.
Aunque a nivel de plataforma las organizaciones pueden implementar herramientas para hacer que el servicio de correo electrónico sea más seguro y confiable, la decisión final de validar y abrir un correo está en poder del usuario, quien debe asegurar que solamente abre correos legítimos. A continuación, diez recomendaciones para ayudarnos a detectar un email falso:
1.- Manténgase siempre alerta
No asuma que el correo es legítimo. Aún cuando el email provenga de una cuenta real, la cuenta puede haber sido comprometida. Peticiones inusuales o fuera de contexto con alto sentido de urgencia, tales como transferir dinero y similares, deben ser confirmadas.
2.- Verifique el encabezado el correo
No se guíe solamente del título del correo electrónico. Échele una hojeada a la información del encabezado para verificar si viene de una fuente legítima. Las direcciones de email de las organizaciones serias contienen el nombre del dominio en la dirección del correo, después del símbolo @. Ejemplos: usuario@intec.edu.do, usuario@aba.org.do, usuario@com.do, usuario@popularenlinea.com, usuario@banreservas.com, usuario@amazon.com.
3.- Verifique el nombre de dominio
Tenga en cuenta que con solo cambiar un carácter, el dominio corresponde a otra organización. Por ejemplo soporte@entec.edu.do no es un email del “Intec” porque se sustituyó la “i” por una “e” en el nombre del dominio. soporte@p0pularenlinea.com.do no es un email del Banco Popular porque la “o” fue sustituida por el “0”.
4.- Dude siempre de email recibidos de dominios públicos, tales como @gmail, @hotmail, @outlook.
Las organizaciones que se preocupan por su seguridad no usan dominios públicos para comunicarse con sus clientes, suplidores, empleados ni relacionados.
5.- Verifique que los enlaces no estén redireccionados a sitios falsos
Los enlaces dentro del email deben corresponder al dominio de la organización. Coloque el cursor, sin hacer clic, sobre el link para visualizar la página a la que el enlace le llevaría y confirme que sea legítima.
6.- No abra ningún enlace sin antes cerciorarse de que ese le lleva a una página legítima
No provea información de sus cuentas ni accesos a través de accesos no confirmados.
7.- Dude de email con faltas ortográficas y errores gramaticales
Otra forma de detectar un email falso es con la ortografía. Las organizaciones serias son cuidadosas en sus comunicaciones, y aunque faltas y errores gramaticales son posibles es poco común encontrar múltiples errores.
8.- Dude de mensajes no solicitados que parecen fuera de contexto
Esos avisos que apelan a nuestra empatía o sentimientos o curiosidad, tales como ofertas increíbles, premios de loterías, herencias, ofertas de trabajo, curas para el Covid, etc.
9.- No abra anexos que no hayan sido solicitados sin estar seguro de su validez
Confirme con la fuente del mismo.
10.- Preste atención al campo en el que aparezca su email
En muchos casos, los ciberdelincuentes envían un email a una dirección con un dominio oficial de una empresa y colocan en el campo Bcc (copia de carbón oculta) la dirección del objetivo real del email.
Mantengámonos siempre alerta, respetemos las políticas de seguridad cibernética y de la información de la organización y recuerde, si es demasiado bueno para ser verdad, probablemente no lo sea.
¿Cree que está listo para detectar un email falso?
Ing. Miguel M. Arias, MCS, CRISC, CRCMP El autor dirige la maestría en ciberseguridad de la Universidad INTEC y dirige la práctica de consultoría en Gobernanza, Riesgo y Complimiento del GRUPO SANUS, SRL.
Sin comentarios