Los estafadores y los ciberdelincuentes buscan constantemente formas de comprometer su seguridad, piratear sus cuentas y verter sus ahorros ganados con tanto esfuerzo en sus propias arcas. Debe tomar todas las precauciones para proteger su información personal, tanto en línea como en el mundo digital. Esto también se aplica a su dirección de correo electrónico, que los ne’er-do-wells pueden usar para lograr mucho.
Entonces, ¿qué puede hacer un ciberdelincuente solo con su dirección de correo electrónico?
¿Los estafadores realmente buscan mi dirección de correo electrónico?
Sí que son ellos. El 16 de agosto de 2022, el proveedor de almacenamiento en la nube DigitalOcean se vio obligado a: revelar una violación de datos y contactar a todos sus clientes con la noticia de que «algunas direcciones de correo electrónico de clientes de DigitalOcean pueden haber sido vistas por una persona no autorizada».
Las filtraciones de datos por correo electrónico son bastante comunes. En ocasiones, además de la dirección de correo electrónico, también se filtran direcciones físicas y contraseñas o hashes de contraseñas. Incluso si no se divulga ninguna otra información, una dirección de correo electrónico válida puede brindar múltiples oportunidades para que los estafadores se aprovechen de usted. Así es cómo…
1. Las filtraciones muestran que las direcciones de correo electrónico están en uso
Hay un número prácticamente ilimitado de posibles direcciones de correo electrónico. Si Gmail fuera el único proveedor de correo electrónico del mundo, el límite de nombre de usuario de 30 caracteres significa que hay 30^36 o 30 indecillones de combinaciones posibles. Otros proveedores tienen límites mucho más altos y se desconoce el número total de proveedores de correo electrónico en todo el mundo.
Cuando los estafadores buscan víctimas potenciales, no basta con enviar correos electrónicos a direcciones aleatorias. La mayoría de las direcciones de correo electrónico potenciales no se utilizan, nunca se han utilizado y nunca se utilizarán. Pueden mejorar un poco las probabilidades al incluir palabras, frases y números comunes en sus esfuerzos.
Verificar que una dirección de correo electrónico se está utilizando activamente les ahorra a los estafadores mucho esfuerzo y dinero (el envío masivo de correos electrónicos no siempre es barato). Es por eso que las bases de datos de direcciones de correo electrónico se compran y venden abiertamente en línea. Como mínimo, si su dirección de correo electrónico se hace pública, puede esperar un aumento significativo en el correo electrónico no deseado, el spam y los intentos de phishing.
2. Su correo electrónico podría convertirlo en un objetivo para el phishing selectivo
Spear Phishing es un término para un intento de phishing en el que el estafador adapta un correo electrónico de phishing para un destinatario específico. Cuanto más sepa el estafador sobre el objetivo, más exitoso será el intento.
La divulgación de la violación de DigitalOcean se produjo como parte de un intento de los estafadores de apuntar a los usuarios de criptomonedas, según mailchimp. Esto en sí mismo brinda a los usuarios de correo electrónico falso un ángulo de ataque para el phishing selectivo y un incentivo para probarlo.
Se puede obtener más información sobre el objetivo a partir de la propia dirección de correo electrónico. Muchas personas usan su nombre completo y año de nacimiento como parte de su dirección de correo electrónico, lo que le brinda al atacante aún más información que puede usar contra la víctima.
Finalmente, si su dirección de correo electrónico, o parte de su dirección de correo electrónico, es un nombre de usuario para cuentas de redes sociales (por ejemplo, si su nombre de usuario es «yeezydave1992@420blaze.it» y su identificador de Twitter es «yeezydave1992»), pueden buscar en todos los aspectos de su vida, sus relaciones, pasatiempos, gustos musicales y luego crear un correo electrónico para atraparlo.
Un poco de investigación puede revelar a otras personas que quizás conozcas: tu mamá, tu jefe, tus clientes. Estas son las personas que podrían estar esperando un correo electrónico de usted y no se alarmarían innecesariamente si encontraran un mensaje de su dirección en su bandeja de entrada.
Por ejemplo, podría decir que ahora considera inmadura la dirección «yeezydave1992@gmail.com» y pedirles que se comuniquen con usted al mucho más respetable «mrdavidyeezy@business.business». O tal vez pueden enviarle un correo electrónico a un cliente para informarle que sus datos bancarios han cambiado y luego pedirle que envíe el próximo pago a una cuenta diferente.
Falsificar un correo electrónico es increíblemente fácil y se puede hacer con Telnet en unos cinco minutos. Según nuestra experiencia, cualquier correo electrónico enviado de esta manera tiene aproximadamente un 20 por ciento de posibilidades de pasar por los filtros de correo no deseado de primer nivel de Gmail. La efectividad de la defensa de otros proveedores variará.
4. Su dirección de correo electrónico es la mitad de su inicio de sesión
En muchos casos, para obtener acceso a sus muchas y variadas cuentas en línea, un atacante solo necesita dos datos: una dirección de correo electrónico y una contraseña. Si ya tienen su dirección de correo electrónico, eso significa que todo lo que necesitan saber es su contraseña.
Al crear una cuenta en línea, existen ciertos requisitos mínimos de seguridad de la contraseña. Estos pueden incluir una longitud mínima, el uso de letras mayúsculas y minúsculas, números y símbolos.
Pero las contraseñas son difíciles de recordar, especialmente cuando tiene que recordar diferentes contraseñas para diferentes servicios. La contraseña más utilizada es «123456», el segundo lugar es «123456789», y las listas de contraseñas comunes circulan en Internet, y mucho menos en la web oscura.
Todo lo que un atacante debe hacer es asociar una contraseña común con una dirección de correo electrónico ya conocida. Si bien no sugerimos que su propia contraseña sea débil, puede valer la pena elegir una contraseña nueva y segura para proteger su cuenta.
5. Un atacante puede falsificar su dirección de correo electrónico con Unicode
Falsificar una dirección de correo electrónico para engañar a los conocidos del objetivo es rápido y fácil de hacer, pero tiene una baja tasa de éxito, y la persona suplantada verá las respuestas de correo electrónico. Es mucho mejor (desde un punto de vista criminal) crear una dirección de correo electrónico que parezca idéntica, pero que sea invisiblemente diferente. No solo sutilmente diferente, sino invisible.
Considere los siguientes dos caracteres: «а» y a». ¿Te parecen diferentes? Uno de ellos es el carácter cirílico «а», que es completamente diferente del carácter latino «a».
La suplantación de identidad Unicode permite a los atacantes (u otras partes interesadas) crear un nombre de dominio que parezca idéntico a un dominio legítimo. Recibir un correo electrónico de «david@makeuseof.com» es completamente diferente a un correo electrónico de «david@makeuseof.com». Otros caracteres que son fáciles de falsificar son к, о, р, с, у, х.
Un atacante que compra ese nombre de dominio puede enviar correos electrónicos que parecen provenir de una fuente legítima y recibir respuestas y correspondencia como si realmente fuera un empleado de makeuseof.com.
Tampoco debe sentirse seguro porque su dirección de correo electrónico también pertenece a un proveedor importante. Si bien algunos de los dominios suplantables más obvios ya no están disponibles, hay muchos dominios alternativos de nivel superior a la venta.
Sí, su correo electrónico se puede falsificar para engañar con éxito a las personas, y le costará al atacante menos de $ 10.
Mantenga su dirección de correo electrónico oculta
No puede evitar regalar su correo electrónico por completo; después de todo, está ahí para usarlo. Pero debe prestar atención a su dirección de correo electrónico principal, lo que significa que la dirección de correo electrónico que usa con sus cuentas bancarias y de PayPal es diferente de la que usa para inicios de sesión y servicios digitales.
Idealmente, debe tener una dirección de correo electrónico diferente para dar a cada persona u organización con la que interactúa. Esto limitará el daño si alguna vez se divulga su dirección de correo electrónico. Si no tiene tiempo para eso, considere usar alias.