En tiempos de teletrabajo, el correo electrónico se ha convertido, más si cabe, en una herramienta imprescindible para las comunicaciones corporativas. También en una de las más utilizadas, junto a los SMS o el WhatsApp, por los ciberdelincuentes en ataques de phishing dirigidos a obtener datos confidenciales mediante la suplantación de la identidad de corporaciones o personas.
A lo largo del mes del pasado mes de marzo, el número de incidentes de phishing en organismos públicos aumentó un 70% con respecto al mes anterior y, en gran parte de ellos, se ha utilizado como vía de entrada la pandemia del Covid-19 para infectar los sistemas informáticos. ¿Cómo? Suplantando la identidad de instituciones sanitarias, financieras, servicios técnicos de proveedores, empresas de logística u otros organismos de la Administración.
Actualmente, hay más de 24.000 dominios en Internet que contienen términos como coronavirus o covid19, de los que más de la mitad han sido creados en el último mes, y algunos con fines dañinos como parte de campañas de spam, spear-phishing o como servidores de mando y control. También se ha descubierto que, troyanos como Trickbot y Emonet, han evolucionado sus TTP para evadir la detección utilizando noticias relacionadas con la pandemia.
Para no convertirte en una nueva víctima de esta u otras técnicas de ingeniería social es preciso seguir las siguientes recomendaciones. ¡Toma nota!:
- Para acceder a tu correo electrónico utiliza contraseñas robustas distintas a las de otros servicios o aplicaciones que emplees de forma habitual. Renuévalas periódicamente y, mejor, si cuentan con un sistema de doble autenticación.
- No almacenes credenciales en el navegador si accedes al correo a través de la versión web. Puedes estar, sin saberlo, dejando la puerta abierta a determinados tipos de malware con capacidad para recuperarlas. Asegúrate además de cerrar la sesión de la cuenta de correo, una vez que ya hayas dejado de utilizarla. Plugins como Self-Destructing Cookies, que elimina toda la información de una web cuando cierras la pestaña y aunque el navegador siga abierto, te será de gran ayuda.
- Utiliza la función de copia oculta (CCO) cuando envíes un correo electrónico a varias personas de las que quieres mantener su dirección electrónica en el anonimato.
- Si tienes sospechas de que un correo electrónico de los que has recibido puede ser malicioso, ponlo en conocimiento del responsable de seguridad de tu organización.
- Ponte alerta si el correo electrónico que recibes contiene muchas faltas de ortografía. Puede ser una señal de que es fraudulento.
- Nunca hagas clic en un enlace que solicite datos personales o bancarios. Si es de procedencia desconocida, busca información en buscadores como Google o Bing y asegúrate de que es fiable. No corras riesgos innecesarios.
Sigue el decálogo de seguridad del correo electrónico del Centro Criptológico Nacional y ¡compártelo! ⬇︎
