UNAM - Universidad Nacional Autónoma de MéxicoDirección General de Cómputo y de Tecnologías de Información y Comunicación - DGTIC
contacto

Recomendaciones para reducir la incidencia y efectos del correo electrónico phishing

Autor: Fabián Romo.
DSSI DGTIC UNAM.
Enero de 2019

Introducción.

El correo electrónico fraudulento o “phishing” se refiere a mensajes que intentan suplantar una identidad de otra persona, pidiendo algún tipo de acción al receptor, tales como donativos, procesos, depósitos, transferencias, o publicando denostaciones, difamaciones, etc.

A diferencia del correo electrónico “spam”, el cual es enviado de manera masiva ofertando productos o con archivos adjuntos que contienen algún tipo de programa maligno (malware), el phishing casi siempre va enfocado a usuarios específicos, incluso dirigiéndose a ellos por sus nombres reales, a fin de confundir al destinatario y enviarlo a visitar sitios en Internet para obtener información de él o realizar procesos en nombre de otra persona.

¿Cómo puede el usuario reducir la incidencia de correos electrónicos phishing y sus efectos? Existen varios métodos, los más sencillos son:

1.- Revisar siempre la dirección de correo electrónico (compuesta por nombre de usuario, @ y nombre del dominio o servidor de correo) que sea efectivamente la del usuario que dice ser.

Muchos clientes de correo electrónico solo muestran el nombre que el dueño de la cuenta de correo electrónico quiere presentar a sus destinatarios (nombre de pila). Esto es una práctica de riesgo, ya que cualquier persona puede adjudicarse un nombre de pila que no le corresponde y con ello suplantar la identidad de otro individuo.

Por ello es importante que el usuario receptor verifique - ante un mensaje con contenido extraño para el perfil o actividades de quien supuestamente lo remite- si realmente el mensaje viene de la cuenta de correo electrónico de esa persona.

2.- Desactivar el autocompletado de direcciones.

Algunos clientes de correo electrónico y dispositivos móviles tienen la función “autocompletar”. Conforme el usuario envía y recibe mensajes, el cliente de correo o el dispositivo va almacenando las direcciones de correo electrónico y sus “nombres de pila” asociados. Ese almacenamiento se hace en un espacio de memoria de la aplicación denominado “caché”.

Sin embargo, por lo expuesto en el punto 1, algún usuario malicioso podría cambiar su nombre de pila y mostrarse como quien no es. Ese nombre será registrado por el dispositivo o cliente de correo del receptor para facilitar las tareas de autocompletado o autollenado y que entonces el usuario receptor no tenga que recordar toda la dirección de correo para dar una respuesta.

Aunque sin lugar a duda esto hace más rápida la redacción de mensajes y sus respuestas, también implica el riesgo de que se empiecen a registrar cuentas de correo electrónico con nombres de pila apócrifos. Conviene entonces desactivar en la configuración del cliente de correo o dispositivo la función de autcompletar direcciones de correo electrónico, o bien sólo permitir que se autocompleten direcciones de correo con las que están registradas en la libreta de direcciones del usuario.

3.- Usar un nombre de pila idéntico en todos los clientes de correo (teléfonos, tabletas, programas en computadora, interfaces Web)

Por ejemplo, en lugar de usar el nombre completo (Juan Pérez López) configurarlo como JUAN Perez o Juan PEREZ. De esta forma, si alguien intenta suplantar nuestra identidad mandando correos en nuestro nombre y no estamos seguros que nuestros destinatarios frecuentes apliquen las recomendaciones 1 y 2, el uso de un nombre de pila o identificador “poco convencional” les ayudaría a saber si realmente somos nosotros quienes enviamos el correo a golpe de vista.

Un suplantador difícilmente podrá adivinar cómo nos identificamos en nombre de pila con los demás, aunque intentará ponerlo de la forma más genérica posible.

La configuración del nombre de pila se realiza en las opciones del cliente de correo electrónico o la configuración de cuenta de correo en los dispositivos móviles. Lo importante es ser homogéneo en todos ellos.

4.- Usar siempre una firma al pie de los mensajes que redactamos.

Aunque muchos usuarios solo terminan sus mensajes con un envío de saludos y su nombre personal, se recomienda en todos los dispositivos y clientes de correo electrónico registrar un texto que se inserte al final de lo que escribimos en cada mensaje. Un suplantador difícilmente podrá adivinar cómo firmamos los correos al final (por ejemplo: si solo ponemos nuestro nombre o solo decimos “gracias y saludos”).

Nuestros destinatarios comunes se acostumbrarán a ver un tipo de firma de nuestros mensajes siempre. Cuando les llegue un mensaje que no trae ninguna firma o pie de página seguramente dudarán de la veracidad de este.

También se recomienda indicar con una marca en esa firma desde cuál dispositivo o cliente de correo se envía el mensaje. Por ejemplo: “Enviado desde JuanPerezPC”. Esta marca ayuda a los destinatarios, en caso de que duden de la veracidad de un mensaje supuestamente enviado por nosotros, a decirnos “lo enviaste desde tu PC” o “Lo enviaste desde tu teléfono móvil”, y entonces podremos revisar si no hay alguna afectación de seguridad en nuestro equipo (un malware por ejemplo) que esté lanzando correos a nuestros contactos sin que nos estemos dando cuenta de ello.

5.- Ante la duda, preguntar por un medio alterno.

Si el mensaje que se recibe es algo anormal a lo que podría decirnos o pedirnos el supuesto remitente, conviene contactarlo por un medio alterno para verificar. Puede usarse mensajería instantánea, SMS, llamada telefónica o mensaje a una cuenta de correo electrónico distinta a la que tradicionalmente usamos para comunicarnos con él.

No se recomienda una respuesta directa al correo electrónico, ya que, en caso de una suplantación, el usuario malicioso que esté intentando atraparnos usará cualquier información de respuesta que le demos para continuar con el engaño.

6.- En situaciones críticas, usar códigos secretos o firma digital

Estas opciones son algo más sofisticadas. Implica, en el caso del código secreto, que un grupo de trabajo comparta entre sí una relación de códigos escritos en papel para procesos críticos, tales como movimientos financieros, toma de decisiones que inciden en toda la organización, relaciones laborales, etc. Si se recibe un mensaje del superior que pide se realice una transacción bancaria, el o los receptores podrían pedir el código secreto o de autorización de ese superior para validar el proceso. Un suplantador fuera de la organización o del grupo de trabajo no tendría esa relación de códigos, y por tanto el intento de phishing quedaría desactivado.

La opción de la firma digital implica tener un certificado (archivo .cer o .pfx) compatible con los estándares internacionales de llave pública (PKI) emitido por una entidad u organización certificadora (CA). En el cliente de correo o dispositivo móvil, dentro de su configuración, se puede indicar que se posee un certificado digital para firmar los mensajes que se escriban. Al momento de enviar un mensaje, el cliente o dispositivo pedirá la contraseña del certificado (distinta a la contraseña de la cuenta de correo electrónico) y estampará la firma digital - que es un código alfanumérico único- al mensaje enviado.

El receptor verá en su cliente de correo o dispositivo una marca o indicación en el mensaje de que el mismo está firmado digitalmente y que esa firma es válida. Equivale esto a firmar de manera autógrafa el mensaje.

7.- Finalmente, las recomendaciones de siempre.

A continuación, enumeramos las mejores prácticas en general con el correo electrónico para incrementar su uso seguro, no solamente para prevenir la incidencia del phishing:

  1. Tener una cuenta de Correo Electrónico Maestra (CEM). Esta cuenta será la de referencia para recuperar otras cuentas y accesos en caso de que algún sistema público o privado de información (redes sociales, bancos, servicios) sea atacado o comprometido en su seguridad.


  1. NUNCA usar la misma contraseña de la CEM en otros sistemas. La contraseña para la CEM debe ser exclusiva. Muchos usuarios, por simplificar su trabajo, emplean la misma contraseña de su CEM para acceder a redes sociales, servicios de música, realizar operaciones bancarias o compras. Si uno de esos sistemas es atacado (y dado que generalmente el nombre de usuario es la cuenta de correo electrónico), los atacantes tendrán no solo la identificación del correo electrónico, sino también las contraseñas.

  1. Rotar las contraseñas. Para todos los casos (CEM, otras cuentas de correo, cuentas de acceso a bancos, redes sociales, etc) las contraseñas deben cambiarse al menos cada mes.

  1. Contraseñas fuertes. Muchas de las suplantaciones de identidad o robo de cuentas derivan de que los usuarios usan contraseñas fáciles de adivinar por los atacantes. Utilizar el nombre del hijo y su fecha de nacimiento, o de la mascota, o el nombre de soltera de la mamá, solo ayudará a los atacantes a adivinar en minutos la clave de acceso. Las contraseñas deben combinar letras, números y símbolos y tener, al menos, 8 caracteres de extensión.

  1. Por increíble que parezca: leer. Muchos de los problemas que se presentan en el uso de programas, aplicaciones y servicios (como el correo electrónico o las redes sociales) derivan de la dinámica cotidiana, la costumbre y la sociedad de las prisas en la que vivimos. Conviene tomarse su tiempo para revisar a detalle la información, quién realmente la envía y por cuál razón, más cuando hay algo crítico que hacer o resolver, o que pueda afectar a más personas en su integridad y su patrimonio.

 


 

Última actualización 24 de enero de 2019
Hecho en México, Universidad Nacional Autónoma de México (UNAM), todos los derechos reservados 2009 - 2018. Esta página puede ser reproducida con fines no lucrativos, siempre y cuando se cite la fuente completa y su dirección electrónica, y no se mutile. De otra forma requiere permiso previo por escrito de la institución.