Un fallo de Correos permite a los estafadores hacerse pasar por la empresa postal
Un error que ha provocado que se envíen correos en nombre de Correos que son una estafa
Llega a España el timo que te deja sin dinero en tu cuenta: están clonando tarjetas
Estos son los 4 supermercados de España que tienen la mejor fruta, según un estudio de la OCU
El sector de la carne evita la huelga 'in extremis' al alcanzar un acuerdo: subirán un 3% los sueldos
Correos es una de las empresas más utilizadas por los españoles para enviar y recibir cartas, paquetes y otros envíos. Sin embargo, también es una de las más vulnerables a los ataques de phishing, una técnica de ciberdelincuencia que consiste en suplantar la identidad de una entidad o persona de confianza para engañar a los usuarios y obtener sus datos personales o bancarios.
A continuación te vamos a explicar cómo un fallo de seguridad de Correos permitió que miles de usuarios fueran víctimas de este tipo de estafa, y qué medidas se pueden tomar para evitar caer en el engaño.
¿Qué es el phishing y cómo funciona?
El phishing es una forma de ciberataque que se basa en el engaño y la manipulación psicológica. Los ciberdelincuentes envían correos electrónicos, mensajes de texto o llamadas telefónicas que aparentan ser de una empresa, entidad o persona conocida por el usuario, y le solicitan que realice alguna acción, como confirmar sus datos, acceder a un enlace, descargar un archivo o realizar un pago.
El objetivo de estos mensajes es que el usuario haga clic en el enlace o el archivo adjunto, que le redirige a una página web falsa que imita el diseño y el logo de la empresa o entidad suplantada. Allí, el usuario introduce sus datos personales o bancarios, que quedan registrados por los ciberdelincuentes, que los pueden usar para acceder a sus cuentas, realizar compras fraudulentas o venderlos en el mercado negro.
El phishing es un método muy efectivo para los ciberdelincuentes, ya que les permite realizar miles de envíos con un coste muy bajo y un alto porcentaje de éxito. Además, se aprovechan de la confianza que los usuarios tienen en las empresas o entidades que suplantan, y de la urgencia o la curiosidad que generan sus mensajes.
¿Qué fallo de seguridad cometió Correos?
Correos es una de las empresas más suplantadas para realizar ataques de phishing, ya que tiene millones de clientes que reciben comunicaciones suyas con frecuencia, y que esperan sus envíos con impaciencia. Además, Correos puede solicitar a sus clientes que confirmen sus datos, que paguen algún gasto adicional o que accedan a su página web para hacer un seguimiento de sus pedidos.
Estas características hacen que los usuarios sean más propensos a abrir los correos electrónicos que reciben de Correos, y a hacer clic en los enlaces o archivos que contienen. Sin embargo, muchos de estos correos no son realmente de Correos, sino de ciberdelincuentes que se hacen pasar por la empresa postal.
El problema es que Correos no tomó las medidas necesarias para evitar que esto ocurriera. Según reveló Lorenzo Martinez, director de la auditora de seguridad informática Securízame a través de X (antes Twitter), Correos no había configurado el registro DMARC (Domain-based Message Authentication, Reporting and Conformance), un método de autenticación que sirve para evitar que los ciberdelincuentes se hagan pasar por un dominio.
Hola @correos ¿Cómo es posible que entre en mi buzón un correo desde [email protected] cuyo contenido es phishing? Pues porque no tenéis configurado el registro DMARC. https://t.co/Axfr7VINQo ¿Cuánto cuesta al año estas estafas a gente que pica en ellas? pic.twitter.com/mlmlCBFVl9
— Lorenzo Martínez (@lawwait) January 31, 2024
El registro DMARC permite al propietario de un dominio especificar qué servidores de correo están autorizados a enviar mensajes desde ese dominio, y qué hacer con los mensajes que no cumplan con esa condición. De esta forma, se evita que los ciberdelincuentes puedan enviar correos desde un dominio que no les pertenece, y que los usuarios puedan identificar fácilmente los mensajes falsos.
Correos no había configurado el registro DMARC para el dominio [email protected], el que usa para las comunicaciones oficiales con los clientes. Esto significa que cualquier persona podía enviar correos desde ese dominio, y que los usuarios no podían distinguirlos de los verdaderos. Así, los ciberdelincuentes aprovecharon esta vulnerabilidad para enviar miles de correos de phishing que suplantaban a Correos, y que engañaron a muchos usuarios.
Configurar el registro DMARC es un proceso sencillo y gratuito, que cualquier empresa o entidad que use un dominio propio debería realizar. Correos, como una empresa tan grande e importante, tendría que haberlo hecho hace mucho tiempo, y haber evitado así el daño que ha causado a sus clientes y a su reputación.
¿Cómo podemos protegernos del phishing?
Aunque las empresas y entidades que son suplantadas tienen la responsabilidad de proteger a sus usuarios y clientes del phishing, también es importante que los propios usuarios tomen precauciones y sepan cómo detectar y evitar este tipo de estafa. Aquí te damos algunos consejos para que no caigas en el engaño:
- Desconfía de los correos electrónicos, mensajes de texto o llamadas telefónicas que te soliciten datos personales o bancarios, que te pidan que accedas a un enlace, que descargues un archivo o que realices un pago. No hagas clic en ningún enlace ni abras ningún archivo adjunto si no estás seguro de su procedencia y veracidad.
- Comprueba la dirección del remitente y el asunto del mensaje. Si ves que la dirección no coincide con la de la empresa o entidad que dice ser, o que tiene errores ortográficos o de formato, es muy probable que se trate de un correo falso. Lo mismo ocurre si el asunto es demasiado genérico, urgente o alarmista.
- Revisa el contenido del mensaje y fíjate en el tono, el estilo y la ortografía. Si el mensaje contiene errores gramaticales, palabras mal escritas, expresiones extrañas o incoherencias, es una señal de que no es auténtico.
- También desconfía si el mensaje es demasiado formal, impersonal o cortés, o si te trata de forma diferente a como lo hace habitualmente la empresa o entidad que suplanta.
- Verifica el enlace o el archivo adjunto antes de hacer clic o abrirlo. Puedes pasar el cursor por encima del enlace para ver la dirección a la que te redirige, y comprobar si coincide con la de la empresa o entidad que dice ser. Si ves que la dirección es diferente, tiene errores o es muy larga o compleja, no hagas clic. Lo mismo ocurre con los archivos adjuntos, si tienen una extensión desconocida, sospechosa o diferente a la esperada, no los abras.
- Accede siempre a las páginas web de las empresas o entidades que usas desde tu navegador, y no desde los enlaces que recibas en los mensajes. Así te aseguras de que estás en la página oficial y no en una falsa. También comprueba que la página tiene un candado verde y que empieza por https, lo que indica que es segura y que cifra tus datos.
- Mantén actualizado tu sistema operativo, tu navegador y tu antivirus, y activa las opciones de seguridad y privacidad que te ofrecen. Así podrás proteger tu dispositivo y tus datos de posibles amenazas, y recibir alertas si detectan algún mensaje, página web o archivo fraudulento.
- Si tienes alguna duda sobre la veracidad de un mensaje, contacta directamente con la empresa o entidad que dice ser, y confirma si te han enviado ese mensaje o no. No uses los datos de contacto que te proporcionen en el mensaje, sino los que encuentres en su página web oficial o en otros medios de confianza.
- Si crees que has sido víctima de un phishing, cambia tus contraseñas, revisa tus cuentas bancarias y comunica el incidente a la empresa o entidad suplantada y a las autoridades competentes. Así podrás minimizar el impacto del fraude y evitar que se repita.
El phishing es una de las amenazas más comunes y peligrosas a las que nos enfrentamos en el mundo digital. Por eso, es importante que estemos informados, alertas y preparados para evitar caer en el engaño. También es necesario que las empresas y entidades que usamos tomen las medidas adecuadas para protegernos y para evitar que los ciberdelincuentes se aprovechen de su imagen y de nuestra confianza. Solo así podremos disfrutar de los beneficios de la tecnología sin poner en riesgo nuestra seguridad y nuestra privacidad.