Al igual que con las llamadas telefónicas no deseadas, si bien los proveedores de correo electrónico
modernos son bastante buenos filtrando mensajes no solicitados, conocidos como spam, sus controles
no siempre funcionan. El spam por correo electrónico puede variar desde molestas misivas no
solicitadas enviadas en masa hasta mensajes peligrosos y maliciosos (mensajes de phishing y malware
enviados a través de spam, también conocidos como «malspam»). ESET, compañía líder en detección
proactiva de amenazas, comparte 10 razones por las que una bandeja de entrada puede estar llena de
spam y/o estafas.
A continuación el equipo de investigación de ESET explica los motivos por las cuales se puede acabar
recibiendo una avalancha repentina de este tipo de mensajes:
1. Filtraciones y fuga de datos: La economía del cibercrimen participantes individuales suelen
desempeñar un papel especializado. Algunos pueden centrarse en vulnerar organizaciones para
robar grandes volúmenes de datos, como direcciones de correo electrónico e información de
identificación personal (PII). Luego, publican o venden esos datos en foros/mercados de
cibercrimen, donde otros los compran para utilizarlos como phishing. Pueden suplantar la identidad
de una empresa que acaba de sufrir la violación, citando su PII y la información de su cuenta para
dar mayor credibilidad a su engaño. El objetivo final suele ser robar datos de inicio de sesión o
información financiera, o la instalación malware.
“Un aumento repentino del spam probablemente significa que se acaba de publicar un lote de
direcciones de correo electrónico en el mercado clandestino de la ciberdelincuencia. También es posible
que una empresa haya filtrado accidentalmente la información al dominio público, lo que permite a los
delincuentes sacar provecho de ella.”, comenta Mario Micucci, Investigadora de Seguridad informática
de ESET Latinoamérica.
ESET -Nota de Prensa
Pie de imagen: Ejemplo de una campaña de estafa de sextorsión que hace referencia a contraseñas
filtradas en antiguos incidentes de seguridad
2. Actualizaciones de kits de estafa: Debido a los kits de estafa/phishing preconfigurados, los
estafadores tienen gran parte del trabajo hecho, desde la suplantación de marcas hasta la
ofuscación, los señuelos de phishing e incluso la omisión de la autenticación multifactorial. Quienes
desarrollan estos kits buscan añadir nuevas funciones para burlar a los proveedores de seguridad y
de correo electrónico. Si logran dar con una solución que eluda los filtros de spam, es de esperar
que los mensajes no deseados comiencen a invadir los buzones.
3. Spam selectivo: Los estafadores centran sus esfuerzos en grupos concretos, como los empleados de
una empresa específica o los usuarios de un servicio concreto (por ejemplo, Netflix). Esto puede
deberse a que obtuvieron los datos de una filtración en una de estas empresas o a que han
recopilado datos de sitios web específicos.
4. Eventos estacionales: Las campañas de phishing suelen aprovechar los acontecimientos de
actualidad para mejorar sus tasas de éxito. Son habituales casos como la muerte de famosos y
emergencias graves y crisis sanitarias, como fue el COVID-19. Pero también se pueden producir
picos estacionales de spam justo antes de Navidad, por ejemplo.
5. La ayuda de la IA: Las herramientas de IA permiten a los estafadores ampliar sus campañas de
phishing con mensajes muy convincentes diseñados para eludir los filtros de spam. La IA también
puede ayudar en el reconocimiento, para encontrar una dirección de correo electrónico en fuentes
de acceso público que, de otro modo, podrían ser difíciles de descubrir.
ESET -Nota de Prensa
6. Rastreo de sitios web públicos: Los spammers no solo obtienen sus listas de correo electrónico de
vulneraciones de datos a gran escala. Algunos consiguen estos datos utilizando bots para rastrear
sitios web públicos, como las plataformas de redes sociales. El tráfico de bots maliciosos representa
el 37 % de todo el tráfico de Internet. Si algún dato es de dominio público, es posible que hayan sido
capturados en una campaña de este tipo.
7. Hacer clic en un mensaje de spam: Los estafadores a menudo pueden acabar con grandes listas de
correo electrónico que luego tienen que reducir para mejorar el retorno de la inversión de las
campañas. Por lo tanto, si se hace clic en un mensaje de spam o, lo que es peor, se responde, el
remitente sabrá que está «activo», lo que podría dar lugar a una nueva avalancha de mensajes.
8. Bombardeo de correos electrónicos: Si una bandeja de entrada se llena de mensajes no deseados,
puede tratarse de una táctica de distracción diseñada para ocultar un mensaje importante, como
una alerta de seguridad del banco o una notificación de una compra que no se ha realizado. El
estafador inscribirá la dirección en cientos de boletines informativos o sitios web para inundar la
bandeja de entrada y ocultar ese mensaje crucial.
9. Compras en línea: Durante los cumpleaños o antes de las fiestas, es posible que realice un mayor
número de compras online. Algunos comerciantes pueden intentar sacar provecho de este periodo
ocultando las suscripciones a las listas de marketing. Si se olvida de desmarcarlas, es posible que se
reciban una avalancha de spam molesto de las marcas en las que se ha comprado.
10. Restablece la configuración: Si se cuenta con una herramienta de seguridad de correo electrónico
que funciona utilizando inteligencia artificial para aprender cómo es la actividad sospechosa. Esta
puede empezar a jugar con la configuración y restablecerla, lo que puede llegar a borrar todo ese
comportamiento aprendido.
ESET comparte algunos consejos para mantener las estafas potencialmente peligrosas fuera de la
bandeja de entrada:
Mantener las cuentas de las redes sociales en privado para evitar que los robots de rastreo web
recopilen la dirección de correo electrónico.
Tomar conciencia del phishing: no hacer clic ni responder a correos electrónicos no solicitados.
Verificar con el supuesto remitente buscando sus datos de contacto por separado (es decir, no
utilizar los que aparecen en el correo electrónico).
Utilizar "ocultar mi correo electrónico" o servicios de enmascaramiento similares cuando se registre
en nuevos servicios, para reducir el riesgo asociado a las filtraciones de datos.
Algunos productos y servicios de protección de la identidad, como HaveIBeenPwned , pueden
rastrear la web oscura en busca de datos para ver si ya han sido vulnerados y/o alertar cuando
aparezca alguna información personal en la web oscura. Esto avisará con antelación de posibles
oleadas de spam.
El software de seguridad de un proveedor de confianza incluye funciones antiphishing
y antispam que pueden minimizar el volumen de comunicaciones no deseadas en la bandeja de
ESET -Nota de Prensa
entrada. Los mejores proveedores ofrecen protección multicapa contra las técnicas de phishing más
sofisticadas, herramientas de inteligencia artificial y kits de estafa.
Considerar la posibilidad de desmarcar las opciones de marketing al comprar para minimizar el
volumen de spam "amistoso" en la bandeja de entrada.
Por otro lado, además de las buenas prácticas es importante destacar qué no se debe hacer. ESET
recomienda lo siguiente:
Evitar hacer clic en "darse de baja" o responder a un correo electrónico de spam, ya que esto
verificará la dirección al remitente.
No abrir archivos adjuntos a los correos electrónicos de phishing, ya que pueden contener
programas maliciosos.
Nunca entregar información personal o financiera y los datos de acceso en respuesta a un correo
electrónico no solicitado, aunque parezca auténtico.
No utilizar la dirección de correo electrónico principal para registrarte y conseguir regalos o
conexión Wi-Fi pública.
Deshabilitar el guardado de datos en sitios de compra online (incluidos el correo electrónico, la
dirección postal y las tarjetas de pago) ya que podrían convertirse en un arma si la empresa sufre un
ataque.
“Como ocurre con la mayor parte de la ciberseguridad, el panorama de las amenazas al correo
electrónico es una carrera armamentística sin fin entre atacantes y defensores. Al equiparse con estas
buenas prácticas y con herramientas de seguridad eficaces de terceros, se tendrá la mejor oportunidad
de mantener una bandeja de entrada libre de repentinas oleadas de spam.”, concluye Micucci de ESET.
