Una de las preguntas más frecuentes entre los usuarios que empiezan a preocuparse por su seguridad es: "¿De dónde sacaron mi dirección?". A menudo pensamos que nuestro correo es privado, pero la realidad es que para un ciberdelincuente, conseguir una base de datos de 10 millones de emails es más barato y fácil que comprar un café.
En este artículo, desglosamos las técnicas tácticas que utilizan los atacantes para alimentar sus campañas de Phishing.
1. Brechas de datos (Data Breaches): La fuente principal
Esta es la gallina de los huevos de oro para los estafadores. Cuando una gran plataforma (una red social, una tienda online o un foro) sufre un hackeo, los atacantes roban millones de registros.
El proceso: Estos datos se filtran o se venden en foros de la Dark Web.
El contenido: No solo obtienen tu correo, sino también tu nombre, tu contraseña (a menudo cifrada) y, a veces, tus intereses. Esto les permite enviarte un correo de phishing que parece extremadamente personal y creíble.
2. Web Scraping: Cosechando la red
Los atacantes utilizan bots llamados "Harvesters" o "Scrapers" que rastrean internet las 24 horas del día en busca del símbolo @.
Dónde buscan: Secciones de "Contacto" de páginas web, comentarios en blogs públicos, firmas en foros y perfiles abiertos en redes sociales como LinkedIn.
El peligro: Si alguna vez escribiste tu correo en un comentario de un blog para recibir información, es casi seguro que un bot ya lo tiene en su base de datos.
3. Ataques de Diccionario y Fuerza Bruta
Si los atacantes saben que una empresa usa el formato nombre.apellido@empresa.com, no necesitan robar nada.
La técnica: Utilizan software que genera combinaciones automáticas (ej.
juan.perez@,m.garcia@,admin@).La validación: Envían correos de prueba. Si el servidor no devuelve un error de "dirección no encontrada", el bot confirma que la cuenta existe y la marca como "objetivo activo".
4. La compra de bases de datos "legales"
No todo el phishing proviene de hackers con capucha. Muchas veces, empresas de marketing de dudosa reputación recolectan datos a través de sorteos falsos o aplicaciones de linterna/juegos gratuitos.
El negocio: Estas empresas venden sus listas de contactos a terceros. Al final de una larga cadena de reventas, esa lista termina en manos de ciberdelincuentes que la usan para campañas de estafa masiva.
5. WHOIS: El registro de dominios
Si eres dueño de una página web, tus datos de contacto solían ser públicos por defecto en el registro WHOIS.
El riesgo: Los atacantes consultan estos registros para extraer el email del administrador de un sitio web y enviarle phishing específico sobre su hosting o su dominio.
¿Cómo saber si tu correo ya está en una de estas listas?
No tienes que adivinar. Existen herramientas de "Inteligencia de Amenazas" abiertas al público:
Have I Been Pwned: Es el sitio web de referencia. Introduces tu correo y te dice exactamente en qué hackeos masivos ha aparecido tu dirección.
Monitor de Firefox: Un servicio similar que te envía alertas si tu correo aparece en una nueva filtración.
¿Cómo proteger tu dirección de ahora en adelante?
Usa Alias de Correo: Servicios como SimpleLogin o iCloud Hide My Email te permiten crear correos temporales para registros sospechosos que redirigen a tu bandeja principal. Si empiezas a recibir spam en uno, simplemente lo borras.
Ofuscación manual: Si tienes que escribir tu correo en un sitio público, escríbelo como
usuario [at] gmail [dot] com. Los bots básicos no podrán identificarlo.Higiene en Redes Sociales: Evita poner tu correo electrónico en la "Bio" de Instagram o X. Usa los botones de contacto oficiales que las plataformas protegen mejor.
Conclusión: Tu correo es un activo público
Debes asumir que tu dirección de correo electrónico ya está en alguna base de datos de atacantes. La seguridad real no depende de que no tengan tu email, sino de lo que haces cuando recibes un mensaje sospechoso.
¿Has consultado ya tu correo en Have I Been Pwned? Cuéntanos en los comentarios en cuántas filtraciones has aparecido (¡algunos nos llevamos sorpresas de más de 20 sitios!).
.jpg)
No hay comentarios:
Publicar un comentario