10 de diciembre, 2018
5 minutos
Spam & Phishing: Qué es, casos más recientes y cómo protegerse
En ocasiones se tiende a no entender correctamente a qué nos referimos cuando hablamos de Phishing o Spam y, en consecuencia, es complicado prevenirlos o saber cómo actuar.
En este artículo queremos arrojar algo más de luz en estas dos amenazas.
Qué es el Spam y qué es el Phishing
Empecemos por el principio.
¿Qué es el Spam?
Sorprendentemente, en un inicio el término Spam era y es el acrónimo de ‘Spiced Ham’ un tipo de embutido enlatado fabricado en Estados Unidos y que durante la II Guerra Mundial era uno de los pocos productos cárnicos no sujetos a racionamiento.
En 1970, Monty Python creó un gag en donde la camarera no dejaba de repetir los platos con Spam a una clienta que no quería comer Spam, convirtiendo el término en sinónimo de ‘información no deseada’. Aunque la carne enlatada Spam se sigue vendiendo en casi todo el mundo, hablar de SPAM es hablar de correo electrónico no deseado.
Actualmente según la definición del Kaspersky Lab, el término Spam se refiere a todo aquel correo electrónico masivo, anónimo y no solicitado:
Spam como correo masivo
Una de las características más importantes del spam es que se envía de forma masiva, en cantidades inmensas.
El objetivo de los spammers (las personas que envían el spam) es obtener un margen de beneficio con los destinatarios del spam que sí abren el correo y adquieran aquel producto o servicio.
Eso explica que los envíos deban ser inmensos.
El Spam es anónimo
Los remitentes de los correos ‘spam’ son falsos.
En ocasiones pueden ser nombres ficticios inventados por los spammers; en otros pueden aprovecharse de una violación previa de nuestra lista de contactos y usar el nombre de uno de ellos para hacernos creer que nos lo envía un amigo.
El Spam es correo no solicitado
Darnos de alta en una lista de correo, newsletter u otro servicio requiere que la empresa que nos enviará la información nos facilite acceso a nuestros datos, así como la posibilidad de darnos de baja en cualquier momento.
Por el contrario, el spam no se corresponde a ninguna de esas opciones y no incorpora la opción para darse de baja.
Aunque se asocia Spam a publicidad, esto tiene porqué ser así. Mucho spam no es únicamente publicitario, sino simplemente no deseado. Podemos definir que, además de la categoría publicitaria, existen las siguientes categorías:
- Mensajes Políticos
- Mensajes caritativos
- Cadenas de emails
- Spam para distribuir malware
- Estafas financieras
Entonces ¿qué es el phishing?
En castellano debemos hablar de Timo, que quizás queda mucho más claro.
El phishing es según Kaspersky Lab:
Un tipo de fraude en internet que busca adquirir credenciales de un usuario mediante el engaño. Este tipo de fraudes incluye el robo de contraseñas, números de tarjetas de crédito, datos bancarios y otras informaciones confidenciales.
La operativa del phishing acostumbra a ser algo así: recibimos un email que parece ser de nuestro banco en el que nos pide ir a nuestra cuenta y entrar con nuestro usuario y contraseña.
Al hacer clik en el enlace, vamos a una web que es idéntica a la de nuestro banco, pero que realmente ha sido creada para robar nuestros datos de acceso a la cuenta indicando que hay algún tipo de problema.
Sin ser conscientes, nos habrán robado nuestros datos bancarios.
Un caso concreto y reciente que nos puede servir de ejemplo son los falsos emails de Endesa con motivo de un reembolso de 37 €. El usuario, cliente de Endesa o no, recibió un email en que se le informaba del cobro de una cantidad errónea y un enlace a una web falsa para poder ingresar el número de tarjeta de crédito y proceder al reembolso.
Cómo protegernos del Spam y el Phishing
Protegernos del Spam es en ocasiones complicado, ya que los emisores de este tipo de correos se sirven de directorios públicos en donde pueda estar nuestra dirección, generar direcciones ‘adivinadas’, robando bases de datos de otras empresas o particulares que no están debidamente protegidas o comerciando directamente con ellas, ya que hay empresas que se dedican a la comercialización de datos con fines comerciales.
Aun así, puedes tomar algunas precauciones:
- No respondas nunca a un email de spam, ya que es la manera de que sepan que tu dirección existe
- Utiliza el correo sólo con aquellas personas con las que quieras comunicarte
- No utilices tu email de manera pública y sólo entrégalo a empresas y webs de confianza que te permiten darte de baja fácilmente.
Para protegernos del Phishing quizás debemos ser algo más avispados, ya que en ocasiones si no estamos lo suficientemente concentrados, podemos caer en la trampa del phishing.
- Ten sentido común: tu banco jamás se pondrá en contacto contigo para pedir tus datos de acceso a tu cuenta bancaria.
- Nunca hagas clic en un enlace del que tengas sospechas. Por el contrario, copia el enlace en una sesión de incógnito de tu navegador y comprueba el enlace es verdadero o no.
- ¿El correo tiene faltas de ortografía? ¿La página web es ‘cutre’? ¿La URL no es la de la empresa a la que has accedido? Muchos delincuentes crean los emails de una manera muy torticera, imitan como pueden el aspecto de la original o utilizando traducciones literales hechas con herramientas de traducción online. Sería muy extraño que un banco o institución envíe un email con faltas, ¿no crees?
La mejor defensa: concienciación y formación
Conocer las amenazas principales son el primer paso para garantizar la protección más adecuada para nuestra empresa o nuestra red doméstica.
A medida que las empresas son conscientes de los ciberataques y, especialmente, cómo se desencadenan, las defensas contra estos ataques son más y más sofisticadas.
Para las compañías no es efectivo invertir en tecnología digital, si luego el personal no tiene en cuenta las buenas prácticas que deben seguirse en lo que a prevención de riesgos informáticos de refiere.
En cambio, una compañía que cuente con un personal correctamente formado y consciente de los riesgos y medidas a seguir para prevenir un ciberataque, será mucho más eficiente de cara a evitar esos ataques o poder reaccionar adecuadamente.
AMBIT BSTcuenta en su portfolio con un servicio B2B de concienciación a usuarios para evitar precisamente todas estas situaciones de riesgo para tu infraestructura tecnológica, así como servicios de consultoría de procesos IT
Contacta con nosotros y estaremos encantados de orientarte sobre la mejor solución para tu empresa.
Cuéntanos tu opinión