La mayoría de ciberataques llegan a través del correo electrónico, es el vector de ataque más utilizado y el que todavía sigue dando resultados, pese a los filtros de spam y anti phishing, porque todavía hay personas que siguen cayendo en la trampa de los emails fraudulentos. En esta entrada vamos a explicar cómo saber si un email es falso, incluso cuando las señales de ello no son tan evidentes.
5 señales que muestran que estás ante un correo falso
Los emails fraudulentos son, como decíamos, el medio más habitual para llevar a cabo determinados ciberataques, como el phishing, el spear phishing, los ataques de ransomware o la inyección de diferentes tipos de malware. Los objetivos dependen del propio ataque, pero normalmente todos conducen a conseguir, sobre todo, datos personales, números de cuenta, tarjetas de créditos, credenciales de cuentas de usuario, etc.
Es cierto que los servidores de correo electrónico incluyen ya herramientas de filtrado que pueden ayudar a evitar que los emails fraudulentos acaben en nuestra bandeja de entrada, enviándolos directamente a la carpeta de spam o de correos no deseados, pero hay ciberdelincuentes con conocimientos suficientes para poder sobrepasar estos filtros y conseguir que un email falso parezca un email legítimo.
Por lo tanto, ¿cómo puedo saber si un correo electrónico es falso? Muchas veces no bastará con fijarnos en algunas de las siguientes señales.
- El dominio de la dirección de email
La primera señal la encontramos en el dominio de la dirección del remitente del email; en los correos falsos, estas direcciones pueden parecerse a la real, pero nunca son completamente iguales.
La pista clave está en el dominio, las direcciones legítimas emplean el nombre de la empresa o compañía como dominio, por ejemplo, @movistar.es, donde «movistar» es el dominio. Un correo falsificado que quiera hacerse pasar por esta compañía podría usar algo similar a esto: info.movistar@gmail.com (o un dominio todavía más raro o desconocido).
Así que si el email parece sospechoso, el primer paso es comprobar la dirección del remitente y compararla con la de un correo legítimo de dicha compañía.
Cabe mencionar que hay una excepción y que podemos recibir correos fraudulentos desde direcciones legítimas, cuando los cibercriminales han recorrido al spoofing, una técnica usada para suplantar una dirección legítima. Respecto a cómo saber si un correo es peligroso en este caso, lo explicaremos más adelante.
- Una redacción con faltas de ortografía o concordancia
Otra señal de que estamos ante un correo falso es el empleo de una redacción con faltas de ortografía o concordancia, puesto que muchas veces, en estas campañas de envío de correos fraudulentos masivos, se recurre a traducciones automáticas, por lo que el texto no está bien redactado.
Si bien, cabe señalar que hay correos fraudulentos que cuidan más este aspecto, especialmente en campañas de spear phishing o dirigidas contra directivos o personas con responsabilidad, como los empleados en las amenazas persistentes avanzadas.
- El asunto genera alerta o demanda rapidez de acción
Es habitual que el asunto de este tipo de emails falsos tiendan a generar algún tipo de alarma o indiquen la necesidad de actuar con rapidez; por ejemplo, «Estos documentos deben ser comprobados urgentemente» o «Tiene X horas para recoger su paquete». Urgencia que también se repite en el cuerpo del mensaje. El objetivo es provocar que la víctima no preste atención a otras posibles señales, por la prisa en responder o llevar a cabo la acción requerida.
Por mucha prisa que corra un supuesto asunto, siempre debemos pararnos a comprobar el remitente y asegurarnos de que el correo es legítimo, incluso antes de descargar cualquier archivo adjunto que pueda incluir.
- Solicita información personal a través de un enlace
Es la técnica habitual del phishing, el correo hace referencia un servicio que va a caducar, a una tarjeta que se ha bloqueado, a un premio que hemos ganado, etc., los métodos son variados, pero siempre se incluye un enlace que nos lleva a complementar nuestros datos personales, como el que podemos ver en la imagen del ejemplo:
El objetivo es conseguir nuestra información personal para emplearla con diferentes fines, como la suplantación de identidad o la venta de este tipo de datos en la dark web.
- Incluye archivos adjuntos
En ausencia de enlaces, este tipo de emails fraudulentos suelen contener archivos adjuntos, habitualmente documentos de Word o PDF acompañados de algún tipo de malware, que muchas veces solo requiere de abrir el documento para ejecutarse.
Si recibes un email con unos supuestos documentos que debes de ver o con un archivo que suscita tu curiosidad, pero que no proviene de nadie conocido o cuya dirección remitente resulta sospechosa, no descargues los archivos y elimina el correo. Además, siempre puedes confirmar con el remitente, si la dirección se corresponde con una de tus contactos, si el correo es legítimo y te lo han enviado él realmente.
Así puedes comprobar si estás ante un email fraudulento
Antes hemos mencionado que es posible enmascarar la dirección real desde la que se envía un correo falso y hacerlo pasar por uno legítimo mediante la técnica del spoofing. Cómo saber si un correo es seguro en estos casos requiere una pequeña acción de comprobación por nuestra parte, pero no es complicado llevarla a cabo.
Se trata de comprobar el encabezado «Received» del correo, que siempre debe mostrar el dominio real del remitente.
Dependiendo del cliente de correo que uséis, la forma de poder ver este encabezado puede variar; a continuación vamos a explicar cómo verlo en Outlook y Gmail, que son dos de los servicios más usados.
En Outlook
En la bandeja de entrada, pulsamos con el botón derecho sobre el mensaje que queramos comprobar y en el menú desplegable seleccionamos «Ver > Ver origen del mensaje».
Os aparecerá la siguiente ventana:
Tendréis que bajar un poco hasta ver el primer Received, donde podéis ver la dirección de correo remitente y su dominio. El ejemplo se corresponde a una dirección legítima de la Casa del Libro, por lo que estaríamos ante un email auténtico.
En Gmail
En Gmail el procedimiento es muy parecido. Abrís el mensaje que queréis comprobar, pulsáis en los tres puntos verticales y pulsáis en «Mostrar original».
Se abrirá una pestaña como esta:
Aquí casi ni siquiera debemos comprobar el Received, porque en el apartado «De:» ya aparece una dirección sospechosa; pone Media Mark, pero al lado aparece una dirección que nada tiene que ver con esta empresa.
Como en Outlook, tendremos que bajar para ver el primer Received, para ver el dominio, que en este caso, aparece como mx.google.com, nada que ver con Media Mark.
Interpretar la información del campo Received
Es cierto que junto al Received aparece mucha información, pero como hemos dicho, fijándonos en el dominio de la dirección remitente ya podemos ver si el correo proviene de una dirección legítima o no y, por tanto, es un correo falso. Podéis comprobar un correo legítimo de una compañía frente a uno falso que se haga pasar por esa compañía, para ver las diferencias.
Pero además de esta información, también podemos mirar los campos SPF y DKIM, que indican si el email ha pasado el control de verificación. Puede ocurrir que pase uno de ellos, pero no los dos. Cuando pasan estos controles, pondrá «dkim=pass (signature was verified) y «SPF: Pass (protection.outlook.com: domain of ………………. designates …………….. as permitted sender)», donde los puntos se corresponden al dominio y la IP respectivamente.
Por lo tanto, aunque puede llevarnos algo de tiempo, siempre que tengamos la sospecha de que un email puede ser falso, es recomendable comprobar las señales que hemos descrito en esta entrada y, si nos quedan dudas, echar un vistazo al Received.