Correo no deseado

El spam es cualquier tipo de comunicación digital no deseada y no solicitada que se envía a granel.  Y es más que una
molestia. El spam hoy es una seria amenaza.

SPAM: estúpido, sin sentido, molesto ... ¿malware?

¿Qué te viene a la mente cuando piensas en el spam? ¿Pastillas milagrosas de doctores digitales y farmacias de Internet que
garantizan el crecimiento de tu cabello y otras cosas? ¿Qué tal una cadena de correos electrónicos como el que le prometió una parte
de la fortuna de Bill Gates si reenvía el correo electrónico a sus amigos? ¿Qué pasa con los anuncios ubicuos para XXX, el más duro de
los sitios de videos para adultos hardcore? ¿O escuchas la palabra "Spam" y piensas, qué hay para almorzar?

Este artículo trata sobre el correo no deseado, y eso es correo no deseado con una "s" minúscula. No debe confundirse con la carne
polarizante del almuerzo. Porque mucha gente en todo el mundo ama el spam ( especialmente Guam ), pero todos odian el spam.

A pesar de los grandes avances que el mundo ha logrado en la lucha contra el correo no deseado, a partir de 2018, Cisco Talos informa
que el correo no deseado representa el 85% de todos los correos electrónicos diarios, y la mayoría se origina en los Estados Unidos,
seguido de cerca por Brasil y China. Según Forbes, la publicidad sobre productos y servicios comprende el 98 por ciento de toda la
basura que se envía.

Pero es el dos por ciento restante del correo electrónico no deseado lo que mantiene despiertos a los investigadores de ciberseguridad
por la noche. Cosas como correos electrónicos de phishing que roban nuestros inicios de sesión. Los llamados príncipes nigerianos que
nos prometen grandes riquezas y terminan robando nuestro dinero. Y malspam que nos engaña para descargar archivos adjuntos
cargados con malware destructivo.

Tendemos a pensar en el delito cibernético como algo que le sucede a otras personas, personas que simplemente no tuvieron cuidado
con sus actividades en línea. La realidad es que todos estamos constantemente bajo el ataque de los cibercriminales y la prueba está
en su bandeja de entrada.

Así que sigue leyendo y aprende todo lo que siempre quisiste saber sobre el correo no deseado, qué puedes hacer para detenerlo y qué
hacer y qué no hacer para administrar tu bandeja de entrada.

Noticias recientes sobre spam

Spampocalypse del teléfono: luchando en la era de las llamadas no deseadas
Emotet en aumento con una fuerte campaña de spam
Un mes de soborno en Twitter

¿Cuál es la definición de spam?

El spam es cualquier tipo de comunicación digital no deseada, no solicitada, a menudo un correo electrónico, que se envía en masa. El
spam es una gran pérdida de tiempo y recursos. Los proveedores de servicios de Internet (ISP) transportan y almacenan los
datos. Cuando los piratas informáticos no pueden robar el ancho de banda de datos de los ISP, se lo roban a los usuarios individuales,
pirateando computadoras y esclavizándolos en una red zombie . Los proveedores de software invierten recursos creando aplicaciones
de correo electrónico que intentan filtrar la mayor parte del correo no deseado. Los consumidores pierden el tiempo analizando lo que
sea que pase los filtros de spam. Según Oracle Dyn, el costo total del spam, en términos de productividad, energía y tecnología,
asciende a $ 130 mil millones. Es un ciclo molesto e interminable.

Si hay una bandeja de entrada, los spammers encontrarán una manera de obstruirla. El spam también se puede encontrar en foros de
Internet, mensajes de texto, comentarios de blogs y redes sociales. Sin embargo, el correo electrónico no deseado es, con mucho, el
más frecuente y, a menudo, el más amenazante para los consumidores.

Antes de abordar los peligros que se ciernen en su bandeja de entrada, demos un paso atrás y miremos el spam de antaño, y
descubramos cómo llegamos aquí.

"El spam es cualquier tipo de comunicación digital no deseada, no

solicitada, a menudo un correo electrónico, que se envía en masa".
¿Cuál es el historial de spam?
La historia del spam comienza en 1864, más de cien años antes de Internet, con un telegrama enviado en masa a varios políticos
británicos. En una señal premonitoria de lo que vendrá, el telegrama era un anuncio de blanqueamiento dental.

El primer ejemplo de un correo electrónico no solicitado se remonta a 1978 y el precursor de Internet: ARPANET. Este correo no
deseado de Internet fue un anuncio de un nuevo modelo de computadora de Digital Equipment Corporation. Funcionó: la gente compró
las computadoras.
En la década de 1980, las personas se unieron en comunidades regionales en línea, llamadas tableros de anuncios (BBSes),
administradas por aficionados en sus servidores domésticos. En un BBS típico, los usuarios podían compartir archivos, publicar avisos e
intercambiar mensajes. Durante los acalorados intercambios en línea, los usuarios escribían la palabra "spam" una y otra vez para
ahogarse mutuamente. Esto se hizo en referencia a un boceto de Monty Python de 1970 en el que un esposo y una esposa que comen
en un café de clase trabajadora descubren que casi todo en el menú contiene Spam. Mientras la esposa discute con la camarera sobre
la preponderancia de Spam en el menú, un coro de vikingos ahoga la conversación con una canción sobre Spam.

El uso de la palabra "spam" en este contexto, es decir, mensajes ruidosos y molestos, entendidos, para disgusto de Hormel Foods, el
creador de Spam.

En Usenet, un precursor de Internet que funciona de manera muy similar a los foros de Internet de hoy, se usó "spam" para referirse a la
publicación múltiple excesiva en múltiples foros e hilos. El correo no deseado más antiguo de Usenet incluyó un tratado religioso
fundamentalista, una protesta política sobre el Genocidio Armenio y un anuncio de servicios legales de tarjeta verde.

El spam no comenzó en serio hasta el surgimiento de Internet y la comunicación instantánea por correo electrónico a principios de los
90. El spam alcanzó proporciones epidémicas con cientos de miles de millones de correos electrónicos no deseados abrumando
nuestras bandejas de entrada.

En 1999, Melissa, el primer virus que se propagó a través de documentos de Word habilitados para macros adjuntos a correos
electrónicos, se soltó en el mundo digital. Se propagó saqueando las listas de contactos de las víctimas y enviándose spam a todos los
que la víctima conocía. Al final, Melissa causó $ 80 millones en daños, según el FBI.

Sin ninguna legislación antispam vigente, los spammers profesionales saltaron a la fama, incluido el autoproclamado "Spam King"
Sanford Wallace. Fiel a su apodo, Wallace fue en algún momento el mayor emisor de correos electrónicos no deseados y de redes
sociales en sitios como Myspace y Facebook.

No fue sino hasta principios de la década de 2000 que los gobiernos de todo el mundo comenzaron a tomarse en serio la regulación del
spam. En particular, todos los países miembros de la Unión Europea y el Reino Unido tienen leyes vigentes que restringen el spam. Del
mismo modo, en 2003, los Estados Unidos implementaron un conjunto de leyes descaradamente llamadas la Ley CAN-SPAM (una vez
más, Hormel simplemente no puede descansar). Estas leyes, en los EE. UU. Y en el extranjero, imponen restricciones sobre el
contenido, el comportamiento de envío y anulan el cumplimiento de todos los correos electrónicos.

Al mismo tiempo, los principales proveedores de correo electrónico Microsoft y Google trabajaron duro para mejorar la tecnología de
filtrado de spam. Bill Gates predijo que el spam desaparecería en 2006.

Según estas leyes, una galería de remitentes de correo no deseado, incluido el Rey Spam, fueron arrestados, procesados y
encarcelados por robar centavos, relojes falsos y drogas cuestionables. En 2016, Sanford Wallace fue condenado, sentenciado a 30
meses de prisión y se le ordenó pagar cientos de miles en restitución por enviar millones de mensajes de spam en Facebook.
Y sin embargo, el spam sigue siendo una cosa. Lo siento Bill.

A pesar de los mejores esfuerzos de los legisladores, las fuerzas del orden y las empresas de tecnología, todavía estamos luchando
contra el flagelo del correo electrónico malicioso no deseado y otras comunicaciones digitales. El hecho es que el negocio del spam
requiere poco esfuerzo en nombre de los spammers, pocos spammers realmente van a la cárcel y hay mucho dinero para ganar.

En un estudio conjunto sobre spam entre la Universidad de California, Berkeley y la Universidad de California, San Diego, los
investigadores observaron una botnet zombie en acción y descubrieron que los operadores de la botnet enviaron 350 millones de
correos electrónicos en el transcurso de un mes. De estos cientos de millones de correos electrónicos, los spammers obtuvieron 28
ventas. Esta es una tasa de conversión de .00001 por ciento. Dicho esto, si los spammers continúan enviando spam a ese ritmo,
obtendrían 3.5 millones de dólares en el lapso de un año.

Entonces, ¿cuáles son exactamente los tipos de spam que continúan llenando nuestras bandejas de entrada hasta el borde y qué
podemos hacer al respecto?

¿Cuáles son los tipos de spam?

Hay varios tipos de spam a tener en cuenta. En un extremo del espectro de spam, usted tiene principalmente spam de marketing
benigno de vendedores sin escrúpulos que nos hostigan con esquemas dudosos para hacerse rico rápidamente y varias píldoras que no
han sido aprobadas por la FDA.

En el otro extremo del espectro de correo no deseado, tiene serias amenazas: los ciberdelincuentes que intentan ingresar a sus cuentas
en línea, robar sus datos, robar su dinero y propagar malware.

Si bien la comercialización de spam es molesta, no es una amenaza significativa. Los correos electrónicos de este tipo se filtran
principalmente por su software de correo electrónico, y lo que sea que pase los filtros es bastante fácil de identificar como spam y
marcar para su eliminación.

El último grupo de amenazas es más difícil de combatir y mucho más peligroso.

Estafas con tarifas anticipadas

Lo primero en nuestra línea de amenazas de correo electrónico son las estafas con tarifas anticipadas. También conocido como estafa
nigeriana o estafa 419, porque la estafa se originó en Nigeria (419 se refiere a la sección del código penal nigeriano que violan las
estafas). A pesar de prestar su nombre a la infame estafa, solo una pequeña fracción del spam proviene de Nigeria. El país ocupa el
número 68 en los principales remitentes de spam según Cisco Talos.
A propósito del nombre, la estafa de tarifa anticipada involucra a un remitente misterioso que le ofrece una gran recompensa a cambio
de un anticipo en efectivo, generalmente como algún tipo de tarifa de procesamiento, necesaria para desbloquear la suma mayor. Una
vez que transfiere el efectivo al cibercriminal, el remitente desaparece con su dinero. Para empezar, nunca hubo una fortuna principesca
o una herencia secreta.

Otra variante de la estafa de tarifas anticipadas convierte a las víctimas desprevenidas en mulas de dinero . A menudo descritos por los
estafadores como trabajos de "gestión de nómina", las cuentas bancarias de las víctimas se utilizan para lavar y transferir dinero
sucio. A cambio, las víctimas pueden quedarse con una parte de las ganancias obtenidas ilegalmente por actuar como
intermediarios. Cuando la policía llama a la puerta, por lo general está en la puerta del desafortunado intermediario, ya que los autores
intelectuales criminales no se encuentran por ningún lado.

Las estafas como estas parecen bastante transparentes, pero la gente se enamora de ellas todos los días debido en gran parte a la
gran cantidad de trucos que los estafadores tienen a su disposición. Estos trucos se llaman ingeniería social . La ingeniería social se
refiere a los métodos que usan los estafadores para presionar a las víctimas a tomar algún tipo de acción. La ingeniería social a menudo
implica manipulación psicológica, jugar con la avaricia, la vanidad o la empatía de la víctima.

“El phishing es el tipo de ataque cibernético más simple y, al mismo

tiempo, el más peligroso y efectivo. Esto se debe a que ataca a la
computadora más vulnerable y poderosa del planeta: la mente humana
",
Adam Kujawa
Director de Malwarebytes Labs
Correos electrónicos de phishing
Adam Kujawa, Director de Malwarebytes Labs , dice acerca de los correos electrónicos de phishing: “El phishing es el tipo de
ciberataque más simple y, al mismo tiempo, el más peligroso y efectivo. Esto se debe a que ataca a la computadora más vulnerable y
poderosa del planeta: la mente humana ".

Los correos electrónicos de phishing engañan a las víctimas para que entreguen información confidencial, por ejemplo, inicios de sesión
en sitios web e información de tarjetas de crédito, mediante ingeniería social y suplantación de correos electrónicos . Los correos
electrónicos falsificados imitan, o falsifican, un correo electrónico de un remitente legítimo, exigiendo algún tipo de acción. Las parodias
bien ejecutadas contendrán marcas y contenido familiares, y sonarán urgentes, incluso amenazantes. Las tácticas de phishing comunes
incluyen:

 Una solicitud de pago de una factura pendiente.

 Una solicitud para restablecer su contraseña o verificar su cuenta.
 Verificación de compras que nunca realizó.
 Una solicitud de información de facturación actualizada.

Al engañarnos para que entreguemos información valiosa, los ciberdelincuentes pueden hackear los servicios en línea que usamos
todos los días sin ningún conocimiento tecnológico real. Para decirlo de otra manera, ¿por qué elegir la cerradura cuando solo puedes
robar la llave?

Malspam
Malspam es cualquier tipo de malware propagado a través de spam. Al igual que los correos electrónicos de pago anticipado y phishing,
malspam se basa en la ingeniería social para engañar a los destinatarios para que tomen algún tipo de acción, a menudo en contra de
nuestro mejor criterio, como hacer clic en un enlace de descarga o abrir un archivo adjunto contenido en el correo electrónico que
infecta su computadora con malware .

En cualquier caso, estas descargas y archivos adjuntos a menudo vienen en forma de archivos de Word, Powerpoint o PDF con código
malicioso oculto en los scripts / macros (es decir, tareas automatizadas). Cuando se abre el documento, se ejecutan los scripts,
recuperando la carga útil de malware de los servidores de comando y control (C&C) ejecutados por los ciberdelincuentes.

Las cargas útiles de malware varían mucho. La carga útil de malware puede esclavizar su computadora en una botnet con el fin de
enviar más spam. La mayoría de las veces la carga útil será un troyano . Como señalamos en nuestro Informe de Tácticas y Técnicas
de Cibercrimen , la mayoría de los ataques de malware en 2018 tanto para empresas como para consumidores se identificaron como
troyanos de algún tipo.

Los troyanos bancarios, por ejemplo, están diseñados para robar información financiera confidencial de su computadora. Y en un giro
interesante, algunos troyanos, por ejemplo, Emotet y TrickBot , ahora se están utilizando como mecanismo de entrega para otro
malware, como ransomware , adware , spyware o cryptojackers .

Spam en dispositivos móviles / Android

¿Alguna vez has recibido un robocall? Eso es llamar spam. ¿Qué pasa con un mensaje de texto de un remitente desconocido que
intenta vender algo, tal vez incluso con un enlace a quién sabe qué? Eso es spam de mensajes de texto. Bienvenido al maravilloso
mundo del spam móvil.

Ahora que los dispositivos móviles son comunes y que las llamadas por Internet (VOIP) son baratas, los spammers tienen una forma
completamente nueva de generar comunicaciones no deseadas. La base de usuarios de Android solo incluye más de 2 mil millones de
usuarios para que los ciberdelincuentes los identifiquen.

Las estafas de teléfonos móviles más comunes, según lo informado por USA Today, son mensajes de estafa pregrabados
supuestamente de bancos, compañías de tarjetas de crédito, compañías de cable y cobradores de deudas. Otra estafa robocall dirigida
a la comunidad chino-estadounidense, involucra un mensaje pregrabado que dice ser del consulado chino, y le dice al destinatario que
hay un documento importante para ellos. Naturalmente, recuperar el documento cuesta dinero. En total, esta estafa recaudó
aproximadamente $ 3 millones.

A menos que provenga de una organización benéfica, una campaña política, un proveedor de atención médica o una llamada
puramente informativa de una empresa o servicio que utiliza, las llamadas automáticas son ilegales. Lo mismo para los mensajes de
texto.

¿Cómo puedo detener el spam?

Ahora que está informado sobre el spam, aquí hay algunos consejos sobre cómo identificar correos electrónicos de phishing y malspam
y evitar convertirse en una víctima.

No respondas al spam. Nuestro primer consejo para detener el spam es: deja de responder al spam. ¿Alguna vez has leído un correo
no deseado cómico y te has preguntado "¿Quién hace clic o responde a estas cosas?" Bueno, no te preguntes más. En una encuesta
de spam realizada por el Grupo de trabajo de mensajería, malware y móvil contra el abuso, el 46% de los encuestados dijo que hizo clic
o respondió al spam por curiosidad, para darse de baja o para obtener más información sobre los productos / servicios que se
ofrecen. No seas una de estas personas. Al responder al spam, usted demuestra a los spammers que su correo electrónico es válido y
le enviarán más spam.

El mismo consejo se aplica al spam del teléfono móvil. Simplemente cuelgue y agregue la persona que llama a la lista de números
bloqueados de su teléfono inteligente. Si se trata de un mensaje de texto, puede copiarlo y reenviarlo al número 7726 (SPAM), hacerlo
mejora la capacidad de su proveedor de telefonía para filtrar los mensajes de spam.

Al presionar "uno" para optar por no participar o interactuar con los estafadores de cualquier manera, está demostrando que su número
de teléfono es válido y que responderá. Además, al hablar, los estafadores pueden grabar su voz y usar muestras de audio de usted
diciendo "sí" para autorizar cargos por cosas y servicios que no desea.
Encienda su filtro de spam. Los proveedores de correo electrónico hacen el trabajo duro cuando se trata de detener el spam. La
mayoría de los correos masivos nunca pasan de nuestros filtros de correo electrónico a nuestra bandeja de entrada. Por supuesto, los
correos electrónicos legítimos a veces llegan, por error, a la carpeta de correo no deseado, pero puede evitar que esto suceda en el
futuro marcando estos correos electrónicos como "no spam" y agregando remitentes legítimos a su lista de contactos.

Desactiva las macros. Definitivamente no habilite macros por defecto. Y si alguien le envía un archivo adjunto por correo electrónico y
el documento le pide que "habilite las macros", haga clic en "no", especialmente si no conoce al remitente. Si sospecha que puede ser
un archivo adjunto legítimo, verifique con el remitente y confirme que, de hecho, le enviaron el archivo.

Aprenda a detectar correos electrónicos de phishing. Aquí están las cinco banderas rojas para detectar un correo electrónico de
phishing. Si ve alguno de estos, entonces probablemente esté viendo un correo electrónico de phishing.

1. La dirección del remitente no es correcta. Si se trata de un correo electrónico legítimo, la dirección del remitente debe coincidir
con el dominio de la empresa que dicen representar. En otras palabras, los correos electrónicos de PayPal siempre provienen de
example@paypal.com y los correos electrónicos de Microsoft siempre provienen de example@microsoft.com.
2. El remitente no parece saber realmente quién eres. Los correos electrónicos legítimos de las empresas y personas que conoces
se enviarán a ti por tu nombre. Los correos electrónicos de phishing a menudo usan saludos genéricos como "cliente" o "amigo".
3. Los enlaces incrustados tienen URL inusuales. Revise la URL antes de hacer clic pasando el cursor sobre ella con el cursor. Si el
enlace parece sospechoso, navegue al sitio web directamente a través de su navegador. Lo mismo para cualquier botón de
llamada a la acción. Desplácese sobre ellos con el mouse antes de hacer clic. Si está en un dispositivo móvil, navegue al sitio
directamente o mediante la aplicación dedicada. El spam de mensajes de texto a menudo incluye enlaces a sitios falsificados
diseñados para capturar su inicio de sesión.
4. Errores tipográficos, mala gramática y sintaxis inusual. ¿Parece que el correo electrónico se tradujo varias veces a través del
Traductor de Google? Probablemente lo fue.
5. El correo electrónico es demasiado bueno para ser verdad. Las estafas con tarifas anticipadas funcionan porque ofrecen una
gran recompensa a cambio de muy poco trabajo. Pero si se toma un tiempo para pensar realmente en el correo electrónico, el
contenido está fuera de razón.
6. Hay archivos adjuntos. En el mundo de la comunicación y el marketing por correo electrónico, los archivos adjuntos son un gran
no-no, y las empresas generalmente no envían correos electrónicos con archivos adjuntos.

Puede leer más sobre correos electrónicos de phishing y cómo detectarlos en el blog de Malwarebytes Labs.

Use autenticación multifactor. Con la autenticación de dos factores o de múltiples factores , incluso si su nombre de usuario y
contraseña se ven comprometidos por un ataque de phishing, los ciberdelincuentes no podrán sortear los requisitos de autenticación
adicionales vinculados a su cuenta. Los factores de autenticación adicionales incluyen preguntas secretas o códigos de verificación
enviados a su teléfono por mensaje de texto.

Instalar ciberseguridad. En el caso de que haga clic en un enlace incorrecto o descargue malware enviado por correo no deseado, un
buen software de ciberseguridad reconocerá el malware y lo apagará antes de que pueda dañar su sistema o red. Con productos para el
hogar y los negocios , Malwarebytes lo tiene cubierto donde sea que la tecnología lo lleve. Sin mencionar la protección contra amenazas
sobre la marcha: Malwarebytes para iOS bloquea todas las llamadas y mensajes de texto no deseados. Y si hace clic en un enlace
malicioso en un texto de spam, Malwarebytes detendrá la carga del sitio incorrecto.

Nota al margen para usuarios de Mac: no piense que puede hacer clic en enlaces y abrir archivos adjuntos con impunidad. Usted
también puede ser víctima de malware . Malwarebytes para Mac lo protege de la creciente amenaza del malware de Mac.