El correo electrónico como canal para el fraude digital

Nos encontramos en la tercera semana del Mes Europeo de la Ciberseguridad. En esta ocasión, queremos resaltar la existencia de las muchas y variadas estafas cibernéticas asociadas al uso del correo electrónico. Por este motivo, entendemos que es prioritario contar con políticas de seguridad que lo regulen y protejan. Además, será indispensable que nuestros trabajadores cuenten con la formación adecuada para poder discernir entre contenido engañoso o legítimo a la hora de manejar sus cuentas de correo corporativo.

 Hablar de correo electrónico es hacer referencia a la principal herramienta de comunicación de la gran mayoría de empresas. Aporta grandes beneficios asociados a la disponibilidad, accesibilidad, rapidez, envíos a múltiples destinatarios, etc. Como cualquier herramienta que forme parte del catálogo de utilidades de un negocio, deberá contar con una política que marque las pautas de uso. Éstas deberán ser claras y conocidas por todos los empleados de la organización. 

Además, también será de gran importancia que estén a día ante los múltiples y variados fraudes que circulan por la red. En esta línea, conceptos como phishing, scam, malware, spam u hoax no deberían ser desconocidos. Por lo tanto, en una organización, además de contar con políticas de seguridad en el uso del correo electrónico, será necesario que los empleados conozcan cuáles son los fraudes cibernéticos más comunes que circulan por la red. La conjunción de ambas actuaciones evitará en gran medida los riesgos asociados a su uso.

PHISHING

Posiblemente se trate de uno de los fraudes más conocidos y extendidos. Se trata de un engaño basado en la ingeniería social y en la suplantación de un usuario, una empresa o entidad fiable como un banco, una tienda online o un servicio concreto como una red social. La finalidad es hacerse con claves de acceso o información sensible como pueden ser datos fiscales o bancarios. El canal mediante el cual se intenta perpetuar el fraude es el correo electrónico, pero también pueden usarse mensajes de texto, etc. 

Ante este tipo de ataques, nuestros empleados deberán contar con la formación adecuada que les permita llevar a la práctica acciones como las siguientes:

• Comprobar las URLs para verificar que estamos ante una web legítima.
• Desconfiar de correos procedentes de entidades bancarias que soliciten datos personales.
• Tener precaución a la hora de hacer uso de enlaces incluidos en los correos electrónicos. Si es necesario hacer algún trámite online, es preferible escribir la dirección directamente en el navegador.
• No tener en cuenta los correos que soliciten datos personales.

SCAM

Se basa en un tipo de correos electrónicos cuya única finalidad es perpetrar engaños y estafas en sus receptores. El gancho, en este caso, gira en torno a falsos premios de lotería, herencias millonarias, ofertas de empleo que requieran de desembolsos, etc. 

Antes de realizar cualquier pago en aras de conseguir alguna ganga, premio, puesto de trabajo o similar, desconfiar y buscar información por Internet para conocer realmente dónde nos estamos metiendo. En algunas ocasiones, las consecuencias podrían ser pérdidas económicas, pero en otros podrían utilizar este fraude para conseguir datos personales o sensibles de la organización. 

MALWARE

En este caso, hablamos de código malicioso que podría infectar nuestros dispositivos corporativos. Los correos podrían contener algún tipo de archivo adjunto o enlaces a webs donde una vez descargado y ejecutado el fichero infectará el dispositivo. En este caso, podría distribuirse a través de la red corporativa infectando todo tipo de dispositivos conectados a la misma. De ahí la gran importancia de contar con medidas preventivas (uso de antivirus actualizados o herramientas antimalware), y formativas o de concienciación (evitar descargas o desconfiar de correos con adjuntos sospechosos o enlaces que llevan a descargas).

SPAM

Hablar de spam es hacer referencia al conocido como correo no deseado o “basura”. Su funcionamiento está basado en envíos indiscriminados de correos con fines publicitarios o fraudulentos, casi siempre, de usuarios desconocidos. Es muy importante ser consciente del uso que se hace de la cuenta de correo corporativa. No se debe utilizar para realizar suscripciones a servicios que ofrece la red o para darse de alta en diferentes páginas web. En cuanto a las políticas con las que deberá contar la empresa, deberá figurar la activación de los filtros antispam, normalmente proporcionados por los propios gestores de correo. 

HOAX

También conocidos como bulos, son falsas notificaciones que normalmente se extienden en cadena por sus receptores. Además, no solo a través del correo, sino que son muy frecuentes en dispositivos con mecanismos de comunicación instantánea, como WhatsApp, Telegram, etc. En ocasiones, pueden ir acompañados de enlaces que podrían infectar el dispositivo con código malicioso. Al igual que en los casos anteriores, esta infección podría extenderse a la red corporativa y con ella a todos los dispositivos conectados a la misma. 

En cualquier organización se deberá contar con políticas que marquen las pautas de actuación en cuanto al uso del correo electrónico. En ellas, se indicará cómo actuar a la hora de inspeccionar los enlaces recibidos en el e-mail, si se dispondrá o no de soluciones antispam, si será necesario hacer uso o no del doble factor de autenticación o de si es necesario cifrar el correo. Además, es muy importante que nuestros empleados estén informados de cuáles son los tipos más comunes de fraudes que circulan por la red y cuáles son las pautas de actuación ante la posibilidad de recibir este tipo de correos.