Huele a phishing: correos electrónicos marcados como seguros

Los correos electrónicos corporativos con el sello “verificado” deberían hacer sonar las alarmas.

Al enviar correos electrónicos de phishing o archivos adjuntos maliciosos, los estafadores utilizan una serie de trucos para persuadir al usuario para que haga clic en un enlace o abra un archivo. Uno de esos trucos es utilizar todo tipo de sellos que indiquen que el enlace o archivo adjunto es de confianza.

Por tonto que parezca, este truco funciona. Los usuarios que tengan bastantes conocimientos sobre seguridad de la información podrían no caer en la trampa, pero a muchos empleados menos expertos en TI sí podría ocurrirles. Por ello, recomendamos que los jefes de seguridad de la información den a sus compañeros de vez en cuando un recordatorio en el que se incluyan las principales tácticas cibercriminales, empezando por las más básicas.

¿Cómo son los sellos “verificados” que utilizan los estafadores?

Realmente no hay un solo tipo: cada atacante tiene el suyo. Hemos visto una gran variedad de ejemplos muy diversos, pero tienden a ser variaciones de las siguientes temáticas:

  • El archivo adjunto ha sido escaneado por un antivirus (a veces aparece un logotipo).
  • El remitente está en la lista de confianza.
  • Todos los enlaces han sido escaneados por un motor antiphishing.
  • No se han encontrado amenazas.

A continuación, vemos un ejemplo de un correo electrónico de phishing enviado por atacantes que se hacen pasar por un equipo de soporte para engañar al destinatario y convencerle de que haga clic en el enlace e introduzca sus credenciales de Office 365. Para añadirle mayor credibilidad, en la parte superior del correo se afirma que el remitente del mensaje ha sido verificado.

Correo con el mensaje "Este remitente ha sido verificado con la lista de remitentes seguros"

Pero en este caso, el mensaje “Este remitente ha sido verificado con la lista de remitentes seguros de [nombre de la empresa]” debería ser una señal de alerta.

Cómo actuar frente a un correo electrónico marcado como seguro

Aunque los correos electrónicos maliciosos o de phishing suelen exigir una respuesta rápida (en el ejemplo anterior se amenaza al usuario con perder el acceso a su correo electrónico corporativo), esto es precisamente lo que nunca se debe hacer. Antes de actuar de forma rápida, hazte las siguientes preguntas:

  • ¿Has visto este mensaje anteriormente? Si llevas en la empresa al menos una semana, este no será el primer correo electrónico que hayas recibido.
  • ¿Alguno de tus compañeros de trabajo ha visto alguna vez un mensaje de este tipo en sus correos electrónicos corporativos? En caso de duda, es mejor consultar con un compañero que tenga más experiencia o con un empleado del área de TI.
  • ¿Es apropiado el mensaje en este contexto? A veces los mensajes del tipo “Archivo escaneado” o “Enlace escaneado” pueden tener sentido, pero si el remitente trabaja supuestamente en la misma empresa que tú, ¿cómo es posible que su dirección de correo electrónico corporativa no esté en la lista de confianza?

De hecho, los filtros de correo electrónico modernos funcionan de manera opuesta: marcan los correos electrónicos que son potencialmente peligrosos, no los que tienen un certificado de confianza. Los correos electrónicos indican que se ha eliminado un enlace o archivo adjunto peligroso, o que pueden ser spam o phishing. Y en el caso de Outlook en Office 365, estos mensajes o sellos generalmente no se colocan en el cuerpo del mensaje, sino en campos especiales. Sin embargo, normalmente estos correos electrónicos simplemente se eliminan antes de que lleguen al destinatario o terminan en la carpeta de correo no deseado. Marcar mensajes seguros es ineficiente.

Esta práctica se empleaba hace tiempo en los servicios de correo gratuitos, pero su objetivo real siempre fue subrayar una ventaja competitiva: un filtro incorporado o un motor antivirus.

Cómo proteger tu empresa y mantenerte a salvo

Una vez más, te recomendamos que, de vez en cuando, informes a tus compañeros de los trucos que utilizan los ciberdelincuentes (por ejemplo, puedes enviarles el enlace de esta publicación). Para una mayor seguridad, también es una buena idea contar con la ayuda de servicios especiales para ser más consciente de las ciberamenazas existentes.

Y para dejar claro que un archivo adjunto ha sido escaneado en busca de posibles ciberamenazas sin que aparezcan mensajes o sellos en el cuerpo del correo electrónico, recomendamos implementar protección en la puerta de enlace del correo  o usar soluciones de seguridad especializadas para Office 365.  Tampoco estaría de más implementar una protección en el equipo de trabajo que cuente con un motor antiphishing de confianza.

Consejos