Tabla de contenido
Tal vez, pero probablemente no. Esto era un problema mucho mayor hace una década, por las razones que destacaré a continuación, pero el tiempo y la experiencia han dado lugar a parches para la mayoría de las amenazas basadas en el contenido del correo electrónico.
Hola, soy Aaron. Llevo casi dos décadas en el mundo de la ciberseguridad y la tecnología. Me encanta lo que hago y me encanta compartirlo con todos vosotros para que podáis estar más seguros y protegidos. No hay mejor defensa contra los ciberataques que la educación y quiero educaros sobre las amenazas.
En este artículo, describiré algunos de los ataques basados en el correo electrónico que solían existir y destacaré por qué ya no son realmente efectivos. También intentaré anticiparme a algunas de tus preguntas al respecto.
Puntos clave
- El HTML en el correo electrónico facilitó los ataques a finales de los años 90 y principios de los 2000.
- Desde entonces, los ataques HTML por correo electrónico han sido mitigados en gran medida por los proveedores de servicios de correo electrónico y los clientes.
- Hay otros ataques modernos más eficaces.
- Puedes evitarlos siendo inteligente en el uso de Internet.
Cómo abrir un correo electrónico podría haberte hackeado
Internet se basa en un lenguaje llamado Lenguaje de marcado de hipertexto o HTML .
El HTML permite la entrega de contenidos ricos en medios y flexibles de forma rápida y eficaz. Las necesidades multimedia y de seguridad de la Web 2.0 lo han llevado a su quinta iteración y todos los sitios web que se visitan hoy en día se entregan a través de HTML.
El HTML se introdujo en el correo electrónico a finales de la década de los 90, aunque no parece haber una fecha canónica de uso o de primer adoptante. En cualquier caso, los correos electrónicos enriquecidos con HTML se siguen utilizando hoy en día para enviar correos electrónicos visualmente atractivos.
Aquí hay un gran tutorial de YouTube sobre cómo desarrollar sus propios correos electrónicos enriquecidos con HTML.
Una de las grandes cosas que facilita el HTML es la capacidad de cargar sin problemas el contenido en línea desde una fuente. Así es como funciona la publicidad dinámica de las páginas web. También es como se solía implementar un tipo específico de ataque a través de la apertura de un correo electrónico.
Hay dos variantes de este ataque. Una de ellas consistía en abrir una imagen en la que el decodificador de imágenes local (el software que permite mostrar la imagen en un formato visible para el ser humano) de su ordenador se encargaba de decodificar la imagen. Ese decodificador ejecutaba el código entregado como parte de ese proceso de decodificación de la imagen.
Si parte de ese código fuera malicioso, estarías "hackeado". Ciertamente, tendrías un virus o malware.
Otra variante de ese ataque era la entrega de código malicioso a través de la entrega de enlaces. Al abrir el correo electrónico se analizaba el archivo HTML, lo que también forzaba la apertura de un enlace que, a su vez, entregaba o ejecutaba código malicioso localmente.
Aquí hay una excelente explicación de cómo funcionó, a través de Youtube, y todo el canal es excelente para las explicaciones en lenguaje sencillo de los conceptos tecnológicos.
¿Por qué ya no funcionan esos ataques?
No funcionan debido a la forma en que los clientes de correo electrónico modernos analizan el correo electrónico. Se han realizado algunos cambios en esos clientes, incluyendo la forma en que se procesan las imágenes y cómo se implementa el HTML en el correo electrónico. Al deshabilitar ciertas características, los clientes de correo electrónico son capaces de proteger a sus usuarios de manera fácil y eficaz.
Eso no significa que estés a salvo. Siguen existiendo muchas formas de distribuir contenido malicioso a través del correo electrónico. De hecho, el correo electrónico es actualmente la entrada más eficaz para los ciberataques. Estos cambios simplemente significan que no puedes ser "hackeado" sólo por abrir un correo electrónico.
Por ejemplo, puede abrir un correo electrónico que le pide que abra urgentemente un archivo adjunto que supuestamente es un servicio legal, una factura vencida u otro asunto urgente. También puede pedirle que haga clic en un enlace. Además, podría pedirle que envíe dinero a una dirección para recibir algún beneficio mayor.
Todos estos son ejemplos de ataques de phishing Al abrir el archivo adjunto o hacer clic en el enlace, se introduce en el ordenador un programa malicioso (normalmente un ransomware). Enviar dinero a algún sitio sólo garantiza que se pierda el dinero enviado.
Hay muchos otros ataques comunes mucho más efectivos que los ataques de contenido HTML y contra los que no puede defenderse fácilmente su proveedor o cliente de correo electrónico.
¿Puede mi teléfono o iPhone ser hackeado al abrir un correo electrónico?
¡No! Por las mismas razones anteriores y un par de razones adicionales. El cliente de correo electrónico de tu teléfono es sólo eso, un cliente de correo electrónico. Tiene las mismas restricciones para analizar el HTML que los clientes de correo electrónico de escritorio.
Además, los dispositivos Android e iOS son un sistema operativo diferente al de los dispositivos Windows, para los que la mayoría del malware está codificado para atacar. La mayoría del malware se dirige a Windows debido a su prevalencia en el entorno corporativo.
Por último, los dispositivos Android e iOS particionan y hacen un sandbox de las aplicaciones, permitiendo sólo la comunicación cruzada con permisos. Así que puedes abrir un correo electrónico con código malicioso, pero ese código malicioso no se infiltrará automáticamente e infectará otras partes de tu teléfono. Estará aislado, por diseño.
Preguntas frecuentes
A continuación, le ofrecemos algunas respuestas a las preguntas que pueda tener sobre los contenidos maliciosos enviados por correo electrónico.
¿Puedes ser hackeado sólo por abrir un mensaje de texto?
Definitivamente no. Los mensajes de texto suelen enviarse en forma de SMS, o Servicio de Mensajes Cortos. Los SMS son texto plano, es decir, sólo letras en la pantalla. Los emojis, aunque no lo creas, son sólo la implementación de Unicode.
Es la forma en que el sistema operativo del teléfono y la aplicación de mensajería traducen cadenas específicas de texto en una imagen. Dicho esto, se demostró que iMessage permite un "hackeo" al abrir un mensaje en 2019.
Accidentalmente abrí un correo electrónico de spam en mi teléfono
¡Ciérralo! Aunque no es realmente una pregunta, este es un temor real para muchos. Si abre un correo electrónico de spam, es increíblemente improbable que se haya descargado un código malicioso en su teléfono. Elimine el correo electrónico y siga con su día.
¿Puede ser hackeado al abrir un sitio web?
¡Sí! Se trata de un ataque bastante común en el que un actor de la amenaza crea un sitio web falso basado en un error ortográfico común de un servicio popular o secuestra un sitio web legítimo. El HTML puede ejecutar código libremente (si está permitido) y si usted visita una página web en la que eso está ocurriendo, entonces podría ser "hackeado".
¿Cómo puede alguien hackear su correo electrónico?
Los profesionales de la seguridad han hecho carreras enteras sobre esta cuestión; no podré hacer justicia aquí.
Respuesta corta: tienen o adivinan tu contraseña de correo electrónico. Por eso, la mayoría de los profesionales de la seguridad recomiendan utilizar Frases de paso fuertes y habilitar autenticación de múltiples factores Si eres objeto de un hackeo de correo electrónico, aquí tienes un magnífico vídeo de YouTube sobre cómo discernirlo.
Conclusión
El simple hecho de abrir un correo electrónico podría haber hecho que te "hackearan" a finales de los 90 y principios de los 2000. Es muy poco probable que lo haga hoy en día. Esas vulnerabilidades han sido parcheadas y hay ataques mucho más sencillos y efectivos que siguen funcionando hoy en día. Ser inteligente y avispado son las mejores defensas contra esos ataques, de los que hablo en profundidad aquí .
¿Qué más haces para mantenerte seguro en Internet? ¡Deja tus tácticas favoritas en los comentarios!
