Si unimos un mensaje de correo electrónico con un aviso de pago de facturas, un contenido en el que se nos avisa de una transacción económica, un montón de datos que «parecen reales», y le sumamos un supuesto PDF con la información que deberemos consultar: seguramente tengamos un troyano en la puerta

El software malicioso (malware) se mueve estupendamente a través de mensajes de correo electrónico. Pero no porque las técnicas de infección hayan mejorado, sino porque en la mayoría de ellos se alude a la candidez del los usuarios uniendo diversas técnicas de engaño (SCAM). Si analizamos un correo típico podemos analizar distintas pistas que nos dan idea del intento de engaño.

¿Cómo reconocer un correo fraudulento?

En la bandeja de entrada de tu correo electrónico pueden aparecer múltiples tipos de mensajes. Cuando se trata de cuentas corporativas, es frecuente ver algunos con justificantes de pagos de facturas o de transferencias, avisos de organismos estatales, de bancos o de servicios online.

Estas son algunas pistas que nos permitirán saber si el correo es fraudulento:

  1. Campo DE: La pista nos la suele dar la dirección del remitente del mensaje. Comprueba si el dominio pertenece a alguien, o si suena a cachondeo. En este caso es de reformass.com, que puede parecer lícito tener un dominio con ese nombre, pero si tratas de acceder a esa dirección te redirige a una web cuya dirección es savenreformas.com. Sospechoso. En otros casos la dirección del remitente es un jaleo de letras y números, con dominios extraños. O directamente actúan en nombre de algunas empresas con nombre real, pero el dominio de su dirección  de correo electrónico no parece propia del supuesto emisor. Por ejemplo, un mensaje de LiberBank cuya dirección de email es unicaja-liber124@skynet.be. Nadie de ese banco usará una dirección de otro dominio, y mucho menos de otro país (.be = Bélgica).
    La primera regla es: desconfía del remitente con direcciones extrañas.
  1. Asunto: Los asuntos suelen comenzar de forma que el usuario que lo recibe crea que se trata de una respuesta a un mensaje anterior (FWD: o RV:), para que bajes la guardia. En otros casos tratan de llamar tu atención con textos de alarma como: atención, advertencia o aviso. Es frecuente en los intentos de suplantación de servicios online, como por ejemplo: Advertencia de seguridad para los servicios online.
  2. Para/A: En este campo deberíamos ver nuestra dirección de correo electrónico, pero en múltiples ocasiones observamos direcciones de correo extrañas como la misma dirección de origen. O también podemos observar textos como: Undisclosed Recipients; que se emplea cuando es rellenado automáticamente porque el resto de destinatarios está oculto. Si la dirección de correo del destinatario no es la tuya, desconfía.
  3. El mensaje: Dentro del cuerpo del mensaje, tratarán de hacerte creer que el mensaje es cierto. En algunos casos con el logotipo de la empresa suplantada, en otros mediante el uso de firmas con avisos (muy) legales que incluyen la dirección y datos de contacto. Dentro del contenido hay múltiples elementos que pueden indicarte que estás delante de un correo fraudulento:
  • El lenguaje empleado. Con errores ortográficos, o con lenguaje poco usual
  • Traducciones extrañas, que a veces hacen que te hagan sospechar del uso de traductores automáticos
  • Contenido genérico – Que podría dirigirse a cualquier empresa
  • Enlaces a sitios web con direcciones extrañas, o con botones de Activar Ahora o Desbloquear – Por ejemplo: https://efgtrsehtut463ygb.clickytunnels.com/xoptinlele23qv
  • Alarma en el mensaje
  • Llamada a la acción inmediata, con avisos del tipo por motivos de seguridad hemos suspendido su cuenta, o Desbloquear su Cuenta
  • Remitente con cargos extraños – Por ejemplo: Director de Seguridad de la Información y Riesgo Tecnológico en ElBancoQueSea
  • Que no se dirijan a empresas de tu sector, o que valgan para cualquiera sector
  • No tienes cuenta en ese banco o en ese servicio
  • Ojo con las firmas aparentemente ciertas, y con datos de empresas reales. Eso no significa que el emisor sea miembro de esa organización. Que yo puedo poner el logotipo de la NASA en mis emails, y no por ello trabajo allí
  1. Adjuntos: Estos mensajes suelen incluir algún tipo de archivo adjunto, que posiblemente contenga el premio (con frecuencia se trata de un troyano). Antes de descargarlo, o de abrirlo directamente, fíjate en el nombre del archivo. Tratarán de hacerte creer por el nombre que es algo inofensivo. En este correo que estamos usando de ejemplo se adjunta un archivo que parece llamarse: «Justificante de Pago 11102021.pdf»; pero que realmente se llama: «Justificante de Pago 11102021.pdf                                                                                  ________________________________.lha». Ya no se trata de un inofensivo PDF, sino de un archivo comprimido que contiene un troyano como se indica en la imagen. Nunca abras un archivo adjunto cuyo origen no sea de tu confianza, y aún así, pásale siempre un antivirus (actualizado) para comprobar que no es dañino.

Conclusión

Aquellas personas que pretenden engañarte van a tratar de confundirte en todo este maremoto de emails recibidos. Tratarán de pasar desapercibidos con mensajes aparentemente ciertos, y en muchos casos van a intentar que sigas un enlace dentro del mensaje (y que te llevará a una página para que indiques tu usuario y contraseña), o en otros casos intentarán que abras un archivo para infectar tu equipo.

No, los filtros de SPAM no son siempre eficaces y no lo saben todo. Ya se encargan los generadores de malware de no aparecer en las listas de SPAM para poder llegar a tu Bandeja de Entrada.

Lo mejor que puedes hacer no tener prisa, analizar y desconfiar de cualquier remitente desconocido.