Cualquier usuario de correo electrónico ha sentido alguna vez que su bandeja de entrada se convierte en terreno de batalla. La avalancha de mensajes promocionales y ofertas dudosas parece imparable: desde descuentos imposibles en vuelos hasta consejos sospechosos de inversión en criptomonedas. En casi todos esos correos aparece la misma promesa al pie: “haz clic aquí para darte de baja”.
Por infobae.com
Parece una solución obvia, sencilla y segura para dejar de recibir esos emails que nadie ha solicitado. Pero la realidad es más compleja. Lejos de resolver el problema, hacer clic en ese enlace puede exponer a los usuarios a nuevos riesgos.
Los expertos en ciberseguridad advierten que, en muchos casos, el botón de “dar de baja” funciona como la puerta de entrada a amenazas inesperadas.
Un clic, muchas amenazas
En diálogo con el periódico The Wall Street Journal, el experto TK Keanini, director de tecnología en DNSFilter, lo resumió así: “La confianza es relativa. Confío en mi cliente de correo, pero no en lo que está dentro del mensaje”. La lógica detrás de la advertencia es clara: cuando el usuario sale del entorno protegido del cliente de email y sigue un enlace contenido en el mensaje, queda expuesto a todo tipo de peligros presentes en la web. Las consecuencias de ese simple clic pueden ir mucho más allá de una bandeja de entrada más limpia.
Según datos recopilados por DNSFilter, una de cada 644 veces que alguien utiliza ese enlace para “darse de baja”, termina en un sitio web potencialmente malicioso. Este dato arroja luz sobre la magnitud del problema.
El peligro más común al interactuar con correos no deseados está en la verificación de direcciones activas. Michael Bargury, director de tecnología y cofundador de Zenity, sostiene que estos clics les sirven a los atacantes para confirmar que la dirección de correo pertenece a una persona real y activa. Una vez verificada esa información, el usuario puede convertirse en objetivo prioritario dentro de nuevas campañas de spam o estafas personalizadas que recurren a técnicas de ingeniería social para obtener datos valiosos o dinero.
Charles Henderson, vicepresidente ejecutivo de servicios de ciberseguridad en la firma Coalfire, amplía la advertencia: los atacantes recopilan información con cada interacción, construyendo un perfil del usuario. “Una vez que saben que la cuenta está activa, pueden empezar a investigar con la esperanza de extorsionar a la víctima en el futuro, a través de ingeniería social u otros métodos”.
Otra amenaza frecuente se presenta cuando el enlace redirige a una página que imita a la perfección el aspecto de una empresa legítima. En ese falso sitio, los ciberdelincuentes pueden intentar obtener credenciales de acceso o instalar software malicioso en el dispositivo del usuario.
“Si el sitio al que te redirigen te pide tu contraseña para darte de baja, es una alerta inequívoca”, advierte Bargury. Ante estos casos, recomienda no completarla y, en vez de seguir el enlace, abrir una ventana aparte del navegador y gestionar las preferencias de comunicación directamente desde el sitio oficial de la compañía.
No todos los enlaces son iguales, pero…
La sofisticación de algunos sistemas empresariales puede generar confusión. Algunas compañías legítimas solicitan al usuario que complete nuevamente su dirección de correo en la web tras hacer clic en “darse de baja”. Charles Henderson explica que esa práctica suele servir para cubrir aspectos técnicos, como el uso de un único enlace estándar para todos los destinatarios. Sin embargo, incluso ante comportamientos legítimos, los expertos recomiendan cautela extrema, sobre todo al recibir comunicaciones de remitentes desconocidos o sin relación previa.
Henderson decide no interactuar jamás con enlaces dentro del cuerpo de correos recibidos de personas o empresas con las que no ha tenido contacto. Mantiene una máxima sencilla: “Si no confías en el remitente, ¿por qué confiarías en su enlace para darte de baja?”.
Algunos usuarios temen que el clic pueda instalar malware de inmediato. Henderson matiza que esta modalidad implica una serie de coincidencias poco habituales: sería necesario que la víctima utilice un navegador vulnerable, que el malware esté diseñado para atacar justamente esa vulnerabilidad y, por último, que el usuario efectivamente pulse el enlace fraudulento. Pese a que el escenario resulta poco probable, la amenaza existe y se intensifica con el tiempo a medida que surgen nuevas vulnerabilidades y estrategias de ataque.
Para leer la nota completa pulse Aquí
