Este fallo le ha costado miles de euros a las víctimas
Ciberseguridad
Correos comete un gran error y facilita cientos de estafas en su nombre
Es una de las instituciones más suplantadas para llevar a cabo ataques de phishing, ya que todo el mundo la utiliza y está acostumbrado a recibir comunicaciones suyas
En la actualidad, los ciberataques se han convertido en una amenaza a la que cualquier usuario está expuesto durante las 24 horas del día. De hecho, entre las estafas más comunes, nos encontramos con los engaños que se llevan a cabo mediante el phishing o suplantación de identidad a través del correo electrónico (también hay que tener cuidado con los SMS).
Este timo destaca por su sencillez, ya que con un poco de edición, los ciberdelincuentes se hacen pasar por una empresa, entidad o persona conocida para hacerse con los datos personales y bancarios de las víctimas. Asimismo, el ataque en sí es muy rentable para los criminales que lo ejecutan debido a su poca inversión monetaria y esfuerzo.
En este sentido, esta modalidad para robar los datos de los usuarios se ha convertido en una amenaza muy común, haciendo que diferentes empresas y personas suplantadas se encuentren en alerta para proteger a aquellos que utilizan sus servicios cada día. Por otro lado, con el fin de intentar controlarlo, Google introdujo funciones que detectan cuando un correo electrónico, página web o archivo puede ser fraudulento.
Sin embargo, es prácticamente imposible asegurar todos y cada uno de los flancos, ya que muchas veces el error humano es el que propicia un ciberataque de estas características.
El importante error de Correos
Correos es una de las instituciones más suplantadas para llevar a cabo ataques de phishing, ya que todo el mundo la utiliza y está acostumbrado a recibir comunicaciones suyas mientras esperan un pedido. Aun así, han cometido un gran error que ha sido descubierto por Lorenzo Martínez, director de la auditora de seguridad informática Securízame.
El problema en sí, es que la institución no configuró el registro DMARC, que es un método de autenticación diseñado para evitar que cibercriminales se hagan pasar por otro usuario. Gracias a ello, al registrar un dominio estás evitando que otros lo puedan copiar y usar, y esto es justo lo que Correos no ha hecho en esta ocasión.
En general, este error ha propiciado una enorme cantidad de estafas que le suplantaban, ya que los correos eran enviados desde el dominio 'noreply@correos.es', aquel que usa Correos para las comunicaciones oficiales con los usuarios.
Los usuarios al ver este nombre, bajaban la guardia y eran estafados por un simple error que la institución podría haber evitado si hubieran realizado todas las medidas que tenían que hacer (configurar el DMARC es gratuito). Finalmente, un dato a tener en cuenta es que esta empresa fue una de las más suplantadas en el pasado 2023, ya que no se preocuparon lo suficiente ni registraron todos los dominios que utilizan cada día.
Comentarios
