Cómo diseminar spam: compensación descompensada

Correos electrónicos ofreciendo compensaciones por el uso indebido de datos personales: un nuevo método para conseguir direcciones de correo electrónico.

Esto es para informarle que después de una de nuestras operaciones en el contexto del acecho de los criminales cibernéticos que operan en nuestro país, detuvo a algunos criminales buscados por nuestros servicios desde el año por delitos cometidos por los “delitos de falsificación y falsificación, fraude y cyber. Tras las confesiones de algunos de los delincuentes, hemos podido identificar como una de las víctimas de estos forajidos. (sic)

Así empieza un email que con el asunto “Compensación” he recibido en mi correo electrónico. Primero fueron los presuntos ministros de energía de Nigeria ofreciéndonos dólares a céntimos de Euro. Luego angustiosos correos electrónicos de esposas de altos dignatarios presuntamente encarcelados en Congo o Zambia que ofrecían, igualmente miles de dólares por unos pocos céntimos. Ahora es una presunta “brigada económica y financiera” de Benin quien te informa de que eres el agraciado receptor de una “Compensación” de 1.100.000 Euros (¡nada menos!) que te pagará el UBA (United Bank of Africa) simplemente a cambio de que le facilites algunos datos. Entre esos datos no está la cuenta corriente. Menos mal.

El español utilizado es razonablemente inteligible, aunque nadie dice “en el contexto del acecho”, ni escribe los pronombres personales en frases como “él limpia a nivel internacional”, ni se come los artículos o los pronombres personales enclíticos en frases reflexivas. Con todo, nadie que no esté “a por uvas” (o quizá a por UBA) puede verse engañado por este mensaje. Otra cosa es que en tiempos de desesperación y gran necesidad haya quien crea que no es una mala opción “por si acaso” responder a este mensaje. Pero nadie, o casi nadie, dudará que este es un correo basura, que en términos informáticos se conoce como spam.

Pero si es así, si no tienen demasiadas esperanzas de estafar a alguien, ¿por qué lo hacen quienes quiera que sean? Y sobre todo, ¿cómo han encontrado mi dirección de correo electrónico?

Son muchos los medios a través de los cuales los generadores de spam consiguen las direcciones de correo. Algunas recuerdan un chiste que circuló por las redes hace algunos años y que reproducimos aquí:

Hola!
Soy el primer virus gallego.
Como los Gallegos no tenemos experiencia en programación, este virus trabaja basado en un sistema de HONOR.
Por favor: Borre todos los archivos de su disco duro manualmente y envíe este mensaje a todos los miembros de su lista de correo.
Gracias por su cooperación.
Manolo“.

Aunque parezca de risa, este es uno de los medios más utilizado por los spammers para “cosechar” direcciones. Ponen en marcha una “cadena” de las que incluyen bien un niño que necesita un trasplante, bien una noticia alarmante que aparentemente proviene de las fuerzas y cuerpos de seguridad del estado, bien una declaración de amistad eterna o una oferta de “recompensa”. El mensaje incluye “reenvía este mensaje a todos tus amigos, e incluso a quien te lo envió”. El procedimiento, como vemos, no precisa conocimientos tecnológicos. Basta con utilizar alguna de las pulsiones humanas y un mensaje persuasivo. Podrían recurrir al honor como el “virus gallego”, pero los tiempos de Lope, Calderón y compañía pasaron hace demasiados siglos

Otro método que requiere nuestra ayuda voluntaria es darse de alta “gratis” en una web con cualquier fin, desde recibir noticias hasta pertenecer a un “club selecto” de consumo. Es muy frecuente que la gratuidad realmente encubra una forma de hacerse con direcciones de correo para engrosar una base de datos que luego se vende al mejor postor. O simplemente a cualquier postor. O que es convenientemente reventada por un hacker que la utiliza para cualquier fin.

Para acabar con los métodos que no precisan de grandes conocimientos informáticos, tenemos el que consiste en incluir en un mensaje de spam una línea donde diga: “si no desea seguir recibiendo correos, pinche aquí”. Esta obligación legal es aprovechada por desaprensivos que reciben la información de que la cuenta a que se dirigieron existe y está activa.

Defendernos de estos métodos es relativamente sencillo. Basta con no reenviar las cadenas haciendo saber a nuestros amigos que no participamos en “cadenas” y con no darnos de alta en ofertas gratis ni pinchar donde nos digan sin previamente mirar el aviso legal de la página en cuestión.

Finalmente un método en el que nuestra colaboración es indirecta. Son muchas las cuentas de correo de empresas con nombres comunes, por ejemplo “info@”, “clientes@”, “administracion@”, “contacto@”.

Quien quiera hacerse con una base de datos con correos electrónicos activos sólo tiene que poner a continuación de la “@” palabras comunes más un dominio genérico (.com, .org, .es, etc.). Mandando los correos con acuse de recibo o con la frase “si quiere darse de baja pulse aquí”, ya conseguirán una base de datos importante y actualizada.

Hay procedimientos más sofisticados. Arañas de búsqueda e intercepción que captan mensajes en la red y desencriptan la dirección, programas piratas para vulnerar la seguridad de ficheros y de bases de datos, troyanos que cuando se abre un archivo adjunto en nuestro ordenador envían todas las direcciones de nuestros contactos a una base de datos, etc. Contra estos procedimientos las soluciones son las ya conocidas de las que mucha gente ya se preocupa: buenos filtros antispam en los servidores de correo, en las cuentas de correo y en los ordenadores, y nunca abrir un archivo adjunto en un correo que provenga de una fuente desconocida. Habida cuenta que quien utiliza este tipo de procedimientos es un experto, no queda sino blindarnos lo mejor posible y mantener al día ese blindaje, sabiendo que todo programa de protección puede ser reventado y pirateados los datos que protege.

Las motivaciones de los piratas de datos de cuentas de correo podemos resumirlas en dos: obtener recompensas, sea beneficio económico, sea reconocimiento de sus “iguales” por sus “proezas”, o bien causar daño, desde tratar de colapsar la red con multitud de mensajes, hasta introducir virus en el mayor número de ordenadores posible. Pese a la concepción roussoniana del buen salvaje y la bondad intrínseca del ser humano, la realidad nos demuestra que causar daño por el simple hecho de hacerlo tiene “buena prensa” entre según qué públicos y una mayor aceptación de lo que nos gusta reconocer.

Teniendo en cuenta unos pocos consejos podremos, al menos, frenar los ataques más elementales:

  1. No participar en cadenas y no reenviarlas. Caso de duda preguntar en Internet si el correo que recibimos es un HOAX o broma / spam.
  2. No facilitar nuestra cuenta de correo en páginas donde nos presten servicios gratuitos. Incluso aunque no lo sean, debemos ser muy cuidadosos dónde facilitamos esa información.
  3. No llevar a cabo ninguna acción, especialmente pinchar enlaces o redirigir correos, que se nos pida por correo electrónico, incluso aunque el remitente sea alguien conocido. Abundan los “ladrones de cuentas”.
  4. No abrir los anexos en correos electrónicos por muy amenazadores que sean, o si dudamos de la procedencia del mismo aunque venga de alguien conocido.
  5. Dotarnos de programas cortafuegos y antivirus para intentar repeler ataques de piratas.
  6. Contratar un filtro antispam en nuestro proveedor de servicio de correo.

En definitiva no se trata más que de usar el sentido común y reaccionar como haríamos ante una situación similar en la vida real. No es fácil que haya nadie que en el mundo físico reúna a todos sus amigos (eso ya es una proeza) en un recinto y “pase la bola” de algo que alguien le ha contado usando el mismos sistema. Ni que se acerque alguien a ofrecernos un montón de billetes a cambio de unas monedas y le hagamos caso y nos prestemos al trueque. Aunque a decir de la policía, el timo de la estampita aún sigue funcionando. El 20 de agosto de este mismo año, la policía detuvo en Lleida a los integrantes de una familia (cinco personas) que ya habían estafado a siete incautos. Nuestra credulidad es grande pero debemos aprender a desconfiar de lo obvio: nadie regala nada. Y si no recurramos al riquísimo refranero para demostrarlo: “el que regala bien vende si el que recibe lo entiende”. Y si no lo entiende, informáticamente hablando, vende aún mejor.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Joaquín López Bravo

Joaquín López Bravo

Director de Comunicación Nacional. Departamento de Marcas. Abogado.

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios