Era temprano y yo todavía no había tomado el primer café del día así que apenas estaba despierto. Como suelo hacer todas las mañanas, me senté delante del ordenador para revisar los mensajes de la noche anterior y me sorprendí al comprobar que tenía un correo electrónico de mi mujer, una factura pendiente de pago. De entrada, me sorprendió el elevado importe de la factura. Sin embargo, el correo tenía el aspecto de pertenecer a una empresa legítima, así que lo revisé con más atención. Y entonces… empecé a ver detalles, detalles que no encajaban. Solo entonces me di cuenta y me dije: “¡Maldita sea!”. Había perdido más de cinco minutos revisando una estafa.
Llevo más de dos décadas trabajando en Internet y, por lo tanto, con correos electrónicos. Durante estos años he visto intentos de fraude y estafas de todos los colores así que me sorprendió la cantidad de tiempo que necesité para darme cuenta del tipo de mensaje que tenía delante de las narices. Es cierto, durante de las primeras horas del día destaco más bien poco por mi agudeza mental o mi lucidez. Sin embargo, las veces en las que he tardado tanto en identificar un intento de fraude pueden contarse con los dedos de las manos (quién sabe, me estaré haciendo mayor).
Algunas estafas se han vuelto cada vez más refinadas con el tiempo y los delincuentes que las llevan acabo no dejan de encontrar nuevas ideas para conseguir que caigamos en su trampa. Sin embargo, a pesar de las múltiples formas que puede adoptar el fraude, los principios sobre los que opera la mayoría de correos fraudulentos son casi siempre los mismos. Apenas unas pocas estrategias pueden ayudarnos a protegernos de la mayor parte de los intentos de estafa o, por lo menos, ponernos sobre aviso.
Reconociendo las señales de peligro
Vivimos en un mundo saturado de información y prestar atención a todo lo que recibimos resulta prácticamente imposible. Y precisamente en las grietas de nuestra atención prospera el fraude. Por eso, el primer paso para protegernos de los emails fraudulentos es reconocer las señales de peligro que nos permitan ponernos en alerta.
Por si vas escaso de tiempo y quieres respuestas ya, a continuación tienes una lista con las señales de peligro más frecuentes. El mensaje que tienes delante tiene posibilidades de ser un fraude si:
- Comunica que algo está en riesgo, o que puedes perder o dejar de ganar algo importante.
- Afirma que debes actuar de forma urgente.
- Intenta que realices un pago, proporciones información sensible (tus datos, información de pago, contraseñas, etc.) o descargues un fichero.
- Describen la situación o se refieren a ti de forma genérica (p.ej. “Estimado cliente”) y proporcionan pocos detalles que permitan determinar que el mensaje realmente va dirigido a ti y que no se trata de un mensaje masivo.
- Contiene lenguaje extraño y / o incoherente.
Si tienes dudas de si del email que acabas de recibir se trata de un fraude, te recomiendo que revises el mensaje con mucha calma y, en caso de duda, que contactes a alguien de tu confianza con experiencia en este campo.
Los estafadores no quieren que pienses
Cuando revisas con atención un correo fraudulento, aumentan las posibilidades de descubrir que algo no encaja. Por eso, los estafadores intentan que actúes rápido y que pienses lo menos posible.
En el mundo real, todos hemos experimentado alguna situación donde alguien nos ha presionado, en persona o por teléfono, para que tomemos una decisión inmediata (firmar un contrato, realizar una compra, llegar a un acuerdo en el trabajo, etc.) de la que nos hemos arrepentido poco después. Cuando se trata de un correo electrónico, los estafadores carecen de la posibilidad de presionar directamente, de modo que para hacerlo utilizan el siguiente truco psicológico: crear la sensación de que tenemos algo que perder.
Los humanos estamos programados para evitar perder cualquier cosa que consideremos importante. Cuando creemos que algo que valoramos puede estar en riesgo (nuestro dinero, vida privada, trabajo, etc.), experimentamos una reacción visceral y ese mensaje actúa casi como un hechizo que captura totalmente nuestra atención. En esos casos, tomar distancia requiere un cierto esfuerzo y por eso los defraudadores utilizan este recurso con tanta frecuencia.
El mismo efecto se provoca cuando tenemos la sensación de que podemos perder la oportunidad de obtener algo valioso con poco esfuerzo. En ese caso, nuestro cerebro actúa como si aquello que podemos obtener fuera en realidad ya nuestro y genera el impulso de querer asegurarlo. En ambos casos, la inercia nos inclina a actuar de forma irreflexiva e impulsiva y es por ese motivo que, solemos tomar peores decisiones. Este efecto se acentúa cuando además sentimos que debemos actuar de forma urgente, así que es frecuente que los mensajes fraudulentos nos insten a actuar rápidamente para prevenir un supuesto riesgo o aprovechar una oportunidad.
Algunos ejemplos de esta estrategia son mensajes que afirman que:
- Han hackeado nuestro ordenador.
- Alguien ha accedido a nuestra cuenta bancaria.
- La dirección de correo de nuestra empresa ha dejado de estar disponible.
- Debes verificar tu identidad o recuperar tu cuenta.
- El acceso a nuestro banco o depósitos ha sido bloqueado.
- Hemos sido elegido como ganadores de un premio de un sorteo en el que nunca hemos participado.
Un correo fraudulento siempre te pedirá que hagas algo
Ahora voy a afirmar una obviedad, así que intenta no poner los ojos en blanco o pagar tu enfado abatiendo tu computadora de un manotazo: un correo fraudulento siempre intenta conseguir algo tuyo, y casi siempre es tu dinero (lo sé, pero que conste que he avisado).
Algunos mensajes intentan directamente que realices un pago, mientras que otros son más sofisticados e intentan convencerte que proporciones datos que puedan permitirles hacerse con el control de tu tarjeta de crédito o tu cuenta bancaria, ya sea rellenando un formulario o descargando un archivo que les permita acceder o tomar el control de tu computadora, bien para acceder a tus datos o para chantajearte.
Para evitar caer en la trampa, es importante tener especial cuidado cuando nos piden que: enviemos un pago, proporcionemos o actualicemos nuestra información de pago, nuestros datos de contacto o cualquier información personal, particularmente datos de acceso o contraseñas. Además, es recomendable hacer clic en un enlace o abrir un adjunto solo si estamos absolutamente seguros de que estamos frente a un mensaje legítimo. Y, por supuesto, nada de permitir instalar software de ningún tipo.
Para protegernos de estafas, debemos ser cautelosos al recibir solicitudes de pagos o cuando nos piden actualizar o confirmar nuestros datos personales y contraseñas. Solo debemos hacer clic en enlaces o abrir adjuntos si estamos seguros de su origen legítimo. Además, nunca debemos permitir la instalación de software desconocido.
Estadísticas y trampas
Las estafas mediante correos fraudulentos se basan en un juego de grandes números: cuando envías un mensaje a miles de personas, basta con que un porcentaje muy pequeño caiga en la trampa para que el fraude resulte rentable. Es decir, si un estafador envía 10.000 mensajes y consigue engañar apenas un 0,3% de los destinatarios, eso significa que 30 personas que seguramente tenían un mal día… pues van a tener un día mucho peor.
Ejecutar un fraude mediante un correo electrónico no requiere grandes dosis de sofisticación e ingenio porque siempre existe una pequeña posibilidad de que alguien pique el anzuelo. El estafador simplemente tiene que contactar a suficientes personas para que las estadísticas se pongan de su parte (si tenías alguna razón para odiar las matemáticas, bueno ahora tienes otra).
Al mismo tiempo, los intentos de fraude se vuelven especialmente peligrosos cuando creemos que el mensaje ha sido preparado específicamente para nosotros en lugar de tratarse de un correo masivo. Para mantener esta ilusión, los mensajes fraudulentos suelen ser poco específicos y están llenos de generalidades tales como saludos genéricos (estimada/o cliente, hola…) o referencias abstractas a “sus cuentas”, “su factura”, “su servicio”, etc. De esta forma, los estafadores pueden apelar a una gran cantidad de gente con el mínimo esfuerzo.
Ese es también el motivo por el que muchos mensajes fraudulentos están mal escritos. Al enviar un mensaje en varios idiomas los estafadores simplemente buscan aumentar sus posibilidades de éxito haciendo llegar un mensaje a tantas personas como sea posible sin tener que invertir demasiado tiempo y trabajo y, por eso, no prestan demasiada atención a que esté bien redactado.
Desenmascarando fraudes
Imagínate un mensaje que empezara de la siguiente forma:
Estimado usuario:
Permítame que me presente, soy un estafador de Internet y mi objetivo es hacerme con su dinero…
Ese si que sería un mensaje realmente sospechoso.
Desafortunadamente, la honestidad es una cualidad muy poco valorada en el gremio de la estafa así que los defraudadores siempre intentan “disfrazar” sus mensajes de modo que parezcan proceder de personas o empresas que conocemos. Eso no es casualidad. En general, solemos confiar más en las personas e instituciones que conocemos, especialmente si disfrutan de una buena reputación. Eso nos hace más sensibles a sus peticiones e incrementa las posibilidades de que cumplamos con lo que nos piden.
Sin embargo, hacerse pasar por otro en Internet es sencillo con apenas unos mínimos conocimientos técnicos. Por eso, nunca debemos confiar en un mensaje simplemente por su procedencia.
A pesar de las medidas de seguridad que se han introducido en los últimos años para evitarlo, manipular un mensaje para simular que procede de una determinada persona o dirección de correo electrónico sigue siendo fácil y recibir un mensaje de una dirección de correo que conocemos no garantiza en absoluto que se trate de un mensaje legítimo.
Atención al detalle: cómo desenmascarar estafas
En la historia al principio del artículo explicaba cómo los detalles fueron clave para darme cuenta del fraude. Si sabes dónde buscar, los correos fraudulentos siempre contienen información que te permite identificarlos. ¿Y por qué no has empezado por ahí?, te preguntarás. La razón es bastante sencilla. Mi intención es proporcionarte herramientas para identificar correos fraudulentos sin necesidad de conocimientos técnicos. Además, para identificar estos detalles primero es necesario prestar atención. De lo contrario, resulta extremadamente sencillo que pasen desapercibidos.
Dirección de correo electrónico
La dirección de correo del remitente nunca garantiza la identidad de la persona que ha enviado un correo electrónico. Como indicaba más arriba, existen formas relativamente sencillas de suplantar la identidad de otra persona utilizando su nombre y su dirección electrónico. Sin embargo, la dirección de correo del remitente también nos puede dar muchas pistas cuando:
- El dominio de la dirección de correo electrónico no coincide con el nombre de la empresa o institución que nos escribe (por ejemplo, si recibes un mensaje de Amazon donde la dirección es algo así como [email protected]).
- Recibimos un mensaje de una empresa que se envía desde un servicio de correo gratuito (gmail, hotmail, outlook, etc.).
- Cuando al darle al botón “Responder”, la dirección del destinatario es diferente a la de la persona que supuestamente te ha enviado el correo. Si eres un usuario más avanzado, también puedes comprobar el campo “reply-to” en las cabeceras del email.
- El dominio que utiliza la dirección del remitente es similar al de su marca pero no corresponde con su dominio real (por ejemplo, netxflix.com o cuentas-netflix.com en lugar de netflix.com).
Enlaces
Cuando un mensaje contiene un enlace, la tentación de hacer clic en él es grande. Pero antes de hacerlo, es muy conveniente comprobar que el enlace dirige donde creemos. Como en el caso de las direcciones electrónicos, “disfrazar” un enlace es casi un juego de niños. En ocasiones, los estafadores utilizan un dominio similar al de la empresa que intentan suplantar (en registros.com bloqueamos a diario intentos de registro de este tipo de dominios). Pero más frecuentemente, el texto del enlace (lo que vemos en el mensaje) y el destino son sencillamente distintos. Para comprobarlo, simplemente debemos situar el cursor sobre el enlace (sin pulsar en él). La parte inferior de nuestro navegador o programa electrónico mostrará cuál es la dirección real del enlace.
Conclusión: nunca subestimes el fraude
Curiosamente, el simple hecho de que hayas leído este artículo reduce las posibilidades de convertirte en víctima de un fraude mediante correo electrónico. Y no, no tiene nada que ver con mi (espero que entretenida a la par que instructiva) explicación. El hecho de que seas consciente de que existe la posibilidad de caer en un fraude y de que te estés informando para evitarlo es la primera y más importante capa de protección.
Aun así, nadie está a salvo de ser víctima de una estafa. Las estafas mediante correo electrónico generan pérdidas de miles de millones de dólares cada año y eso significa que hay más víctimas de las que nos gustaría. La mayoría de intentos de fraude son bastante sencillos de reconocer pero también existen algunas estafas muy sofisticadas. Así que presta atención y evita caer en ellas.