Consejos para hacer un uso seguro del correo corporativo

Publicado el 11/01/2017, por INCIBE
Uso seguro email corporativo

En un reciente artículo nos preguntábamos cómo nos engañan por correo electrónico. En un correo malicioso tanto el remitente como el asunto, el cuerpo, los adjuntos o los enlaces que contiene, pueden estar diseñados para engañarnos. Por esto es importante, estar atentos a ellos, utilizar el sentido común y analizarlos de forma crítica para evitar caer en su trampa.

¿Nos fiamos del remitente?

  • ¿Conocemos a quién supuestamente envía el correo, es decir su nombre?
  • ¿Su correo electrónico «pepe.perez@dominio.es» es el de siempre o el esperado?
  • ¿Están bien escritos el nombre (antes de la @) y el dominio (después de la @)? Con frecuencia se utilizan dominios, o nombres, parecidos (por ejemplo, pep.peres@dominio-clientes.es) para engañarnos.

¿Es un asunto pendiente?

El asunto suele ser el primer gancho o reclamo, junto con el remitente, para engañarnos. Si han podido espiar con antelación nuestro correo, con quién nos escribimos, qué tipo de mensajes recibimos, etc., sabrán qué asunto poner e incluso cuándo esperamos recibir ese tipo de mensajes, por ejemplo «Envío factura mes de noviembre».

¡Qué cuerpo!

  • El cuerpo del mensaje puede incluir logotipos o el pie de firma esperado. También emulan, a veces de forma burda y otras más elaborada, el aspecto que tendría del mensaje que quieren suplantar (el mismo saludo o despedida, por ejemplo). Sospecha del mínimo cambio de aspecto y si es necesario contrástalo con otro mensaje del mismo remitente o mejor llama a tu contacto por teléfono.
  • ¿Está bien escrito? Si tiene modismos, utiliza un vocabulario no utilizado en España o tiene faltas gramaticales, desconfiaremos. En ocasiones utilizan traducciones automáticas y si lo leemos con cuidado nos daremos cuenta.
  • ¿Contiene una «llamada a la acción» que nos urge, invita o solicita hacer algo no habitual? Esto nos debería hacer sospechar. En particular desconfiaremos si nos están pidiendo datos o información confidencial, como cuentas y contraseñas, o que hagamos clic en un enlace o que descarguemos un fichero.

¡No me la líes con este adjunto!

  • ¿Reconoces el nombre del archivo? Los adjuntos de un mensaje malicioso suelen tener un nombre de fichero que nos incita a descargarlos, por ser habitual o porque creemos que tiene un contenido atractivo.
  • ¿Ese icono es el que corresponde al archivo? Suelen ocultar un fichero ejecutable bajo iconos de aplicaciones comunes como (Word, PDF, Excel, etc.).
  • Esa extensión, ¿es la verdadera? Podrían esconder la extensión real del archivo:
    • poniendo una extensión familiar seguida de muchos espacios para que no veamos la extensión real (del ejecutable) en nuestro explorador de ficheros (por ejemplo listadoanual.pdf                         .exe)
    • insertando un código (RLM) que invierte el orden de los caracteres en una parte del nombre del fichero, así  «presupuesto[U+202E]cod.exe» se mostrará en Windows como «presupuestoexe.doc».
  • ¡Huy!… ¿es un documento de Office que nos pide habilitar las macros? Estarán deshabilitadas por defecto. Sospecharemos de los archivos que nos pidan habilitarlas.
  • ¿Es un archivo ejecutable? Los archivos ejecutables, scripts e instaladores los carga el diablo. ¡Recuerda qué no son sólo los .exe o .zip! Comprueba en este enlace algunas de las extensiones de ejecutables.  
  • ¿Es o encubre un archivo JavaScript? Los archivos con extensión .js son peligrosos si se saltan las protecciones del antivirus. Pueden ocultarse en ficheros comprimidos. Podrían hacer que nuestro ordenador descargara y ejecutara otro software malicioso.

¡El enlace es un lazo!

  • Antes de hacer clic en ningún enlace revisaremos la URL, es decir la expresión que se abriría en la barra del navegador al hacer clic (del tipo http://www.paginadelproveedor.es/...). Para ello nos situaremos sobre el texto del enlace, generalmente en azul y subrayado y el cliente de correo nos mostrará la URL. La URL debe ser la que esperamos, es decir si el mensaje es de una empresa conocida, debe ser la URL de esa empresa.
  • Para identificar enlaces sospechosos nos fijaremos en que:
    • pueden tener letras o caracteres de  más o de  menos (typosquatting) y pasarnos desapercibidas,
    • podrían estar utilizando homógrafos, es decir caracteres que se parecen en determinadas tipografías (1 y l, O y 0),
  • Aun así los enlaces aparentemente legítimos:
    • podrían apuntar a direcciones distintas de las que muestran con un sencillo cambio en el código html (si el mensaje viene con formato html),
    • podrían dirigirnos a un web exploit kit, un servidor que analiza las debilidades de nuestro navegador bien para explotarlas e infectarnos bien para fisgar nuestros patrones de navegación para diseñar otros ataques,
    • podrían ser enlaces que nos llevan a sitios web legítimos que están comprometidos, es decir, que los han modificado para infectarnos o robarnos datos.

¿Qué medidas podemos tomar?

  • Si dudamos del remitente:
    • Comprobaremos de quién es ese dominio (lo que va detrás de la @) en Whois. También podremos comprobar si esa URL aloja algún malware utilizando el servicio gratuito de análisis de URL de Virustotal.
    • En caso de que el correo electrónico no sea visible, analizaremos los detalles de la cabecera del mensaje (aquí puedes ver cómo ver las cabeceras en distintos clientes de correo y cómo entenderlas) para comprobar la dirección de correo del remitente, aunque este dato no es del todo fiable, pues podrían estar suplantándolo.
  • Para los adjuntos:
    • Tendremos habilitada la opción que permite mostrar la extensión de los archivos en el sistema operativo (en Windows10, o en OSX).
    • Si dudamos de un archivo que hemos descargado podemos comprobar, antes de ejecutarlo, si contiene malware en la web de Virustotal.
    • Deshabilitaremos las macros en Microsoft Office. Esta es la forma de hacerlo  en Mac OSx y en Windows.
    • Para impedir la ejecución de archivos ejecutables a los usuarios, se pueden utilizar aplicaciones de lista blanca como AppLocker.
  • Y para los enlaces:
    • Ante la mínima sospecha copiaremos el link y lo analizaremos en Virustotal o en otra página similar.
    • Los enlaces acortados pueden esconder sorpresas desagradables  pues a priori no podemos saber dónde nos llevarán. Una opción es copiarlos en http://unshorten.it/ para extenderlos antes de hacer clic en ellos.

Por otra parte nunca está de más:

  • tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados;
  • instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;
  • desactivar la vista de correos en html en las cuentas críticas.

Recuerda que la seguridad total no existe y que los ciberdelincuentes utilizan técnicas mixtas que aprovechan la debilidad humana a la vez que explotan vulnerabilidades técnicas del software o fallos de configuración. La principal defensa contra estas prácticas es estar concienciado de la existencia del peligro y estar atento y utilizar el sentido común para detectarlas. ¡No bajes la guardia!