Con anterioridad, en Newtral.es hemos hablado de casos de phishing o suplantación de identidad en los que el ciberdelincuente se hace pasar por instituciones u organizaciones para engañar a sus víctimas. Sin embargo, hay un caso de phishing en el que la dirección del correo electrónico desde la que se envía el engaño aparenta ser la oficial de los organismos. Es el email spoofing.
Esta técnica no es nueva. En noviembre de 2020, la Tesorería General de la Seguridad Social avisó en redes sociales de este tipo de fraude, y en marzo de 2021 fue alertado por el Ministerio de Inclusión, Seguridad Social y Migraciones. Desde Newtral.es nos hemos puesto en contacto con el Instituto Nacional de Ciberseguridad (INCIBE) para poder conocer detalladamente en qué consiste este tipo de ciberataque. Esto es lo que sabemos.
Una técnica conocida como email spoofing
Hace unos días, Marcelino Madrigal avisaba de un caso de phishing en el que un ciberdelincuente se hacía pasar por la Seguridad Social. Y alegando una liquidación tributaria pedía al receptor que descargara un archivo.
En este caso, la dirección de correo electrónico que puede ver el usuario parece legítima, ya que termina en @inclusion.gob.es, la dirección oficial del Ministerio de Inclusión, Seguridad Social y Migraciones. Sin embargo, el emisor del correo no lo ha hecho desde una dirección de este ministerio, sino desde otro correo.
Desde el INCIBE nos han explicado que esta técnica se conoce como email spoofing. En su página web señalan que “se lleva a cabo mediante un correo electrónico fraudulento en el que el atacante ha cambiado la dirección del remitente y el asunto para conseguir que parezca una comunicación real”. Dicho de otra forma, Acens (compañía de servicios en nube de Telefónica) explica en su página web que el email spoofing “es cuando alguien nos envía un correo donde el campo del remitente es falso”.
El INCIBE, además, afirma que “esto es posible debido a que el protocolo Simple Mail Transfer o SMTP, el principal protocolo utilizado en el envío de correos electrónicos, no incluye mecanismos de autenticación”. Lo que permite que “alguien sea capaz de introducir comandos en las cabeceras del correo para alterar la información que luego nos aparecerá en el mensaje”.
Cómo comprobar si se trata de phishing
Como ya hemos explicado en otras ocasiones, hay varios elementos que nos pueden ayudar a determinar si un correo electrónico se trata de un intento de phishing, es decir, si se hace pasar por otra persona u organización para intentar obtener nuestros datos personales.
Entre otras cosas que explicamos en esta guía, hay que fijarse en si existen faltas de ortografía, no debemos hacer click en cosas sin revisar a dónde nos llevará, tampoco instalar archivos que no sepamos qué hacen y revisar el remitente del correo electrónico.
Para poder comprobar si el correo es fraudulento, o no, se puede utilizar la herramienta Messageheader. Esta web de Google nos permite analizar la cabecera de los correos electrónicos que nos llegan para poder comprobar su fiabilidad. Así, podemos comprobar la verdadera dirección de envío del correo electrónico, lo que ha tardado en enviarse y si ha superado los controles de verificación.
Otro método que se puede realizar desde nuestro dispositivo móvil es analizando la web en la herramienta VirusTotal, que permite el análisis de archivos y enlaces para comprobar si tienen algún malware. El INCIBE realizó un vídeo en el que explica cómo comprobar un intento de phishing similar al que hemos comentado anteriormente
Muchas gracias. He sido víctima de la caja misteriosa mientras compraba en la página de Shein. El cargo de la empresa me aparece como HPY"2 handdytaskt. Primero me cobran 2 euros y al día siguiente 66. No sé pueden devolver los recibos. No hay página web ni teléfono. La empresa es de Reino Unido. Nadie me da solucion