España encabeza la lista de países receptores de este tipo de correos maliciosos según se puede extraer de los resultados del Informe Anual sobre Spam y Phishing de Kaspersky.
Aunque no son demasiado complejos desde el punto de vista tecnológico, los ataques de spam y phishing suelen basarse en sofisticadas técnicas de ingeniería social. Por ello, se consideran bastante peligrosos para los usuarios desprevenidos. El spam es un tipo de actividad maliciosa que implica la distribución masiva o selectiva de correos electrónicos.
El objetivo de los estafadores que están detrás de estos esquemas es promocionar varios productos y servicios entre los usuarios de Internet y atraer a los objetivos para que participen en un diálogo, hagan clic en un enlace o abran un archivo adjunto malicioso. Por su parte, el phishing suele adoptar la forma de un correo electrónico de spam acompañado de una copia maliciosa de un sitio web legítimo. Estas copias recogen datos privados del usuario o incitan a la transferencia de dinero a los estafadores.
Índice de temas
España, primer país receptor de correos maliciosos en 2021
España se sitúa de nuevo, al igual que en 2020, a la cabeza de los países y territorios destinatarios de envíos masivos maliciosos. En 2021, el antivirus para el correo electrónico de Kaspersky se activó con mayor frecuencia en los dispositivos de nuestro país (9,32%), cuya cuota volvió a aumentar en comparación con el período anterior. Rusia quedó en segundo lugar (6,33%) e Italia en tercero (5,78%). Brasil (4,84%) y Alemania (4,83%) ocupan el cuarto y quinto puesto respectivamente, por delante de México (4,53%), Vietnam (4,50%) y los Emiratos Árabes Unidos (4,30%) En la parte inferior del TOP 10 de países y territorios objetivo, se sitúan Turquía (3,37%) y Malasia (2,62%).
En cuanto a los países emisores de spam, Rusia (24,77%) se mantiene como primer emisor de correo basura en todo el mundo. Le siguen Alemania (14,12%), EE. UU. (10,46%), China (8,73%), Países Bajos (4,75%), Francia (3,57%), España (3,00%), Brasil (2,41%), Japón (2,36%) y Polonia (1,66%). En conjunto, estos diez países enviaron más de tres cuartas partes del total de spam del mundo.
Principales temas utilizados para estafar a los usuarios
Tal y como muestran los resultados del informe Kaspersky Spam and Phishing in 2021, el año pasado las inversiones en criptomonedas o acciones ha sido uno de los temas utilizados por los ciberdelincuentes: en estas estafas se ofrecía a los usuarios oportunidades potencialmente buenas y “100% seguras” para invertir su dinero, lo que por supuesto no era cierto. En realidad, estas ofertas tenían un único objetivo: hacer que las víctimas transfirieran su dinero a los estafadores.
Las estafas basadas en estrenos mundiales de películas, también detectadas por los expertos de Kaspersky, fueron similares, pero en este caso los delincuentes ofrecían acceso anticipado a la transmisión de una superproducción recién estrenada. Por lo general, a los usuarios se les mostraba un tráiler o un vídeo de presentación, tras lo cual se les pedía que introdujeran sus datos de pago para continuar viendo la película. Por supuesto, si la víctima pagaba, no obtenía acceso al contenido deseado, sino que perdía su dinero. El esquema ha continuado siendo bastante popular a lo largo de 2021; según las observaciones de los expertos de Kaspersky, casi todos los grandes estrenos de películas o series de televisión del año, junto con las grandes retransmisiones deportivas, han ido acompañados de la aparición de este tipo de estafas temáticas.
El otro gran tema explotado por los estafadores de phishing en 2021 ha sido la pandemia. En este caso, los ciberdelincuentes crearon esquemas en torno a dos grandes temas: subvenciones de gobiernos y organizaciones sanitarias, y acceso a certificados de vacunación.
En el primer caso, se “informaba” a las víctimas de que se les concedía una indemnización del programa de apoyo a la pandemia de su gobierno, pero para obtenerla, la víctima debía pagar una pequeña tasa. Por supuesto, estas ofertas no eran ciertas y los ciberdelincuentes las utilizaban para obtener dinero y datos bancarios.
El otro tipo de esquema de phishing y spam sobre la pandemia está relacionado con la venta de certificados de vacunación. A las víctimas se les ofrecía un certificado de vacunación, que les permitiría acceder a espacios públicos y viajar, sin tener que pasar por el procedimiento de vacunación. Si bien es cierto que algunos foros clandestinos ofrecían estos servicios, nada impedía a los delincuentes hacer falsas promesas a cambio de dinero. Como obtener un certificado de vacunación sin tener la vacuna es ilegal, es muy poco probable que la víctima de una estafa de este tipo la denuncie a la policía. Y esto es lo que esperan los delincuentes que están detrás de estas estafas.
Durante el año 2021 los expertos de Kaspersky también han observado el uso de estafas relacionadas con la pandemia para acceder a una red corporativa. En estos casos, el contenido de un correo electrónico de spam o phishing informaría a los empleados de una organización objetivo de que son objeto de una indemnización por la pandemia. Sin embargo, para recibirla, la víctima debe confirmar su cuenta corporativa en una página web específica. Si tiene éxito, este proceso permite a los ciberdelincuentes acceder a la infraestructura y credenciales corporativas.
“El dinero, los estrenos de cine y los acontecimientos mundiales, como la pandemia, siempre han sido el “pan de cada día” para los estafadores. Seguimos viendo cómo vuelven, año tras año, y no parece que los ciberdelincuentes vayan a parar. Esto se debe, sobre todo, a que estas estafas resultan muy eficaces, ya que los usuarios siguen confiando demasiado en lo que ve en sus bandejas de entrada y en sus navegadores. Creemos que es importante ser conscientes de que hay muchas ofertas que parecen “demasiado buenas para ser verdad”. Hacemos un llamamiento a la prudencia a la hora de confiar en lo que recibimos por correo electrónico, ya que esto podría ayudar a salvar los datos privados y el dinero”, señala Tatyana Shcherbakova, experta en seguridad de Kaspersky.
Para evitar ser víctima de spam o estafas basadas en phishing, los expertos de Kaspersky aconsejan:
- Abrir los correos electrónicos y hacer clic en los enlaces sólo si estamos seguros de que podemos confiar en el remitente.
- Cuando un remitente es legítimo pero el contenido del mensaje parece extraño, merece la pena comprobarlo con el remitente a través de un canal de comunicación alternativo
- Comprobar la ortografía de la URL de un sitio web si se sospecha que podríamos estar ante una página de phishing. Si es así, la URL puede contener errores difíciles de detectar a primera vista, como un 1 en lugar de I o un 0 en lugar de O.
- Utilizar una solución de seguridad probada para navegar por la web. Gracias a su acceso a fuentes internacionales de inteligencia sobre amenazas, son capaces de detectar y bloquear campañas de spam y phishing.