Cómo proteger tu email
¿De dónde viene el email?
El email o e-mail viene del inglés electronic mail, o correo electrónico. Simplemente es un servicio de red que permite a los usuarios enviar y recibir mensajes mediante redes de comunicación electrónica. Los sistemas de email se basan en un modelo de almacenamiento y reenvío, sin que ambos extremos se encuentren necesariamente conectados.
La creación del email es incluso anterior a la de Internet. En 1962, el MIT (Massachusetts Institute of Technology) adquirió un modelo de ordenador IBM 7090 que permitía a varios usuarios iniciar sesión desde diversas terminales remotas, para poder guardar archivos en el disco. En un principio el sistema se utilizó para intercambiar mensajes, y posteriormente se desarrollo el servicio de mailing, para facilitar el envío y recepción de mensajes entre los usuarios de esta máquina.
La idea del correo electrónico se debe a Ray Tomlinson, quien utilizó en 1971 el protocolo CYPNET para enviar los primeros mensajes de red que hasta entonces tan solo se había podido enviar de manera local. El primer mensaje de todos contenía el texto «QWERTYUIOP», y se envío a través de la red estatal ARPANET.
La comunicación con los servidores de correo se hace mediante el lenguaje conocido como protocolo SMTP (Simple Mail Transfer Protocol), el cual hace una consulta al servidor DNS (Domain Name System) de la red correspondiente para conocer el registro MX asociado al dominio. Una vez obtenido, el servidor SMTP se conecta al mx.b.com para transferir el mensaje y guardarlo en el ordenador.
Es importante también definir el protocolo POP3 (Post Office Protocol), que se utiliza en clientes locales de correo para obtener los mensajes de correo almacenados en un servidor remoto, denominado grupo servidor POP. Es un protocolo de aplicación en el Modelo OSI (Modelo de Interconexión de Sistemas Abiertos).
El otro protocolo utilizado para el acceso a mensajes de Internet es el IMAP (Internet Message Access Protocol), el cual permite acceder a los mensajes que se encuentran almacenados en el servidor de Internet. Es necesario contar con una conexión a Internet para poder tener acceso al correo electrónico, ya que nos los descarga remotamente, como hace el protocolo POP.
¿Qué dice la Ley sobre la protección del email?
Según la Ley Orgánica de Protección de Datos LOPD 3/2018, de 5 de diciembre, debemos respetar la Ley de Protección de Datos al usar el correo electrónico como forma de comunicación. La LOPD obliga a recabar el consentimiento previo del usuario para poder enviarle por email comunicaciones comerciales o de cualquier otra índole.
Además, se debe informar al usuario de los aspectos básicos relativos al tratamiento de sus datos siendo conveniente añadir una cláusula de protección de datos del email, que no es otra cosa que una cláusula de confidencialidad que alude a la privacidad y el deber del secreto que todos los destinatarios deben mantener con respecto a la información dada.
¿Qué hacer para proteger tu correo electrónico?
Primero de todo, has de crearte un password «a prueba de bombas», con al menos doce caracteres y lenguaje mnemotécnico, es decir, con letras mayúsculas, minúsculas, números intercalados y símbolos. Ejemplo: M3t4fR4s3.-+3s Y no olvides proteger tus tabletas y el resto de dispositivos.
Utiliza una contraseña diferente para cada cuenta. Evita la tentación de reutilizar siempre los mismos passwords, ya que puedes facilitar su trabajo a los ciberdelincuentes. Y nunca guardes tu contraseña en un ordenador de acceso público, ¡tu ciberseguridad se verá fuertemente comprometida!!
Utiliza la verificación en dos pasos con el móvil, bien mediante un mensaje de texto, o a través de una app. Esto obliga al ciberdelincuente que quiera hackear tu ordenador, a tener tu móvil para poder acceder.
Mantén tu antivirus siempre actualizado para hacer tu ordenador o dispositivo más seguro. Recuerda que los móviles también son hoy en día objetivo de los cibercriminales.
Evita abrir los archivos adjuntos salvo que el remitente sea de absoluta confianza. El malware instalado mediante adjuntos es una de las principales brechas de ciberseguridad a las que nos podemos enfrentar.
No hagas clic en botones de link ni en mensajes de email. Los SCAM (estafas) pueden incluir falsos logos muy logrados con el fin de obtener datos como pueden ser contraseñas bancarias. Revisa las direcciones en el navegador y busca el candado de web segura antes de introducir tus datos.
Los estafadores utilizan constantemente el phising para intentar robar los datos de sus víctimas y comprometer su ciberseguridad, nunca des tus contraseñas ni datos personales por correo electrónico a absolutamente nadie, ni siquiera familiares y amigos, puesto que los hackers podrían hacerse con ellos. Comprueba siempre la dirección del remitente en los correos sospechosos.
Crea preguntas de seguridad difíciles de responder. No utilices, por ejemplo, tu fecha de cumpleaños para conseguir tu contraseña, ya que los delincuentes podrían conseguirla a través de las redes sociales o bases de datos.
¿Qué es la ingeniería social?
La ingeniería social es una nueva técnica que emplean los ciberdelincuentes para poder ganarse la confianza de un usuario y así poder conseguir información confidencial de manera ilegítima a traves de la manipulación y el engaño. Actualmente es una forma de quebrantar la ciberseguridad de los usuarios muy en auge, y está llegando a unas cotas que incluso los criminales están utilizando aplicaciones de citas o motivos emocionales para extorsionar a sus víctimas o conseguir sus datos tras haberse ganado su confianza abusando de las buena fe de las mismas.
Los ciberdelincuentes están utilizando todo tipo de artimañas para apropiarse de los bienes ajenos, entre ellas algunas muy novedosas como el Vishing, consistente en realizar llamadas telefónicas encubiertas bajo encuestas para sacar información personal sin que la víctima pueda sospechar nada.
Otra técnica creada para violar nuestra ciberseguridad es el Baiting, mediante el cual el delincuente utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un malware o software malicioso, dejándolo en un lugar público y de fácil acceso como unos baños o un bar. Cuando la víctima lo introduce en su dispositivo, este queda infectado, y el hacker tendrá acceso a todos sus datos personales, con el tremendo riesgo que eso conlleva.
Por último, pero no por ello menos importante, el Quid Pro Quo (algo por algo), es una técnica donde el atacante llama a números aleatorios en una empresa haciéndose pasar por el soporte técnico. El usuario informará a alguien de un problema legítimo, y el delincuente se ofrecerá para ayudarle, mientras aprovecha para hacerse con sus datos confidenciales.
¿Cómo protegerse frente a ataques de ingeniería social?
Siempre que recibas una llamada, mensaje o correo dudoso, solicita identificación inmediatamente. Verifica el correo electrónico, el número de teléfono y la dirección desde donde te llaman. En caso de duda, desconfía y no reveles ningún dato personal ni de tu empresa.
Utiliza el sentido común ante todo. ¿Es sensato pensar que nos ha tocado un premio? ¿Tenemos un primo nigeriano que nos podía dejar una herencia en Bitocoins de un millón de dólares? La mayoría de ataques de ingeniería social nos cogen desprevenidos, pero si los pensamos con calma y detenidamente, veremos que no tenían mucho sentido o al menos, el plan hacía aguas por algún sitio.
Los atacantes suelen moverse con urgencia. En caso de duda, tómate tu tiempo para pensar e incluso contacta telefónicamente con la empresa de la que dicen depender para comprobar si realmente es verdad, o es una trama orquestada para sustraernos datos.
Y no olvides tener un buen filtro antispam que reconozca automáticamente cualquier dirección o envío sospechoso, y te pueda poner en alerta antes incluso de leerlo.
Tipos de software malicioso para el email
Los tipos de Malware diseñados fundamentalmente para sustraer datos a través del correo electrónico son nueve, a saber:
- Virus tradicionales que se extienden a través de la acción de los propios usuarios.
- Worms (gusanos), los cuales se propagan automáticamente sin necesidad de ser extendidos por los propios usuarios.
- Troyanos.- Son software ilegítimo que se implanta en nuestro sistema tras una instalación camuflada en otro programa que creemos de utilidad para posteriormente poder atacar la ciberseguridad de nuestro dispositivo.
- Rootkit.- Software que mantiene su presencia oculta, pero dota de cierto privilegio al ciberdelincuente para poder atacarnos y controlar nuestros dispositivos.
- Spyware.- Software espía, mundialmente conocido últimamente por los casos del Pegasus, utilizado por los gobiernos para espiar otros gobiernos, o a veces, miembros del suyo propio.
- Blended Threat.- Cuando en un solo ciberataque se combinan varios software maliciosos.
- Remote Access.- Consiste en controlar el dispositivo de manera remota desde otra ubicación. Es necesario acceso a la Red.
- Adware.- Software malicioso que infecta nuestro ordenador a través de los anuncios o banners.
- Exploit Kit.- Los kits de explotación permiten a los atacantes entregar malware sin tener un gran conocimiento sobre las vulnerabilidades que se utilizan.
¿Cómo prevenir ciberataques al correo electrónico?
A parte del sentido común y estar siempre alerta ante posibles ataques o fraudes vía email o correo electrónico es precio instalar una solución de protección de email o software, más conocido coloquialmente como antivirus, entre los particulares. Fundamental que el software disponga de herramientas antispam y antiphising, pues son ataques que con el tiempo podremos sufrir prácticamente a diario.
Si queremos ir un paso más allá, debemos contratar un sistema MTR, Managed Threat Detection and Response, que nos permita no solo detectar las amenazas que pongan en riesgo la ciberseguridad de nuestra compañía, sino poder actuar ante ellas y dar una respuesta segura en el menor tiempo posible para que los ciberdelincuentes no logren su propósito.
Otra opción más innovadora sería incorporar una ZTNA (Zero Trust Netwok Access), sobretodo para aquellas empresas que cuenten con equipos en remoto o teletrabajo, con el fin de que los endpoints de los empleados se encuentren seguros desde sus localizaciones de trabajo.
