Para las personas que creían que los correos electrónicos no están mas de moda. Lamento informar que si, están y siguen siendo una de las formas más potentes de alcanzar directamente a las personas que desea.
El marketing digital sabe de eso y cuando tratase de llevar información especifica de productos o servicios para un publico bien definido por su segmentación no existe herramienta mas importante.
Por otro lado, la delincuencia electrónica también encuentra en esa herramienta un potente aliado para lograr los robos de identidad (información personal) o dinero.
A eso dichos correos los llamamos de spear phishing. Una forma de ataque basada en ingeniería social, mucho más potente y por que no decir quirúrgica.
Da mesma forma que, en marketing digital, el atacante valiéndose de información obtenida previamente por medio de reconocimiento, es capaz de elaborar un correo electrónico con informaciones que san de conocimiento o de interés de sus víctimas tornando a reacción sobre el correo algo prácticamente irresistible..
Un estudio de Barracuda revela que 91% de los ataques pasan en días laborales en horario comercial típico, siendo esta una estrategia más de convencimiento. 85% de los ataques involucran a peticiones urgentes con el objetivo de obtener respuestas rápidas.
Muy diferente de un Phishing común donde su principal característica es abarcar un volumen más grande posible de personas, el spear phishing enfoca en no más que 25 personas y aun segundo el estudio de Barracuda 10% de las personas hacen clics sobre los mensajes. El numero aumenta si los mensajes simulan correos de los departamentos Recursos Humanos o de Tecnología de Información
Tuve la oportunidad de presenciar correos muy bien desarrollados enviados para personas foco en el área financiera haciendo pasarse por uno de los alto ejecutivos de la empresa. El dicho correo simulaba a una invitación hecha a un director para una reunión, diciendo querer hablar sobre una nueva posición en la empresa. La riqueza de los detalles era tan grande que até datos sobre la oficina y salas de reunión estaban presentes. El ataque no logró ser exitoso simplemente por un detalle: dicha empresa (que no puedo revelar) tiene sus procesos muy bien desarrollados y una cadena de comando muy bien estructurada, una reunión como la que se estaba planteando jamás podría suceder sin otros arreglos y sin involucrar otros recursos.
El equipo de seguridad de información fue accionado y constató que el correo era falso.
En los casos de spear phishing solamente una capacitación interna muy exitosa y una atención a las comunicaciones que llegan por el correo pueden evitar que el ataque se bien sucedido. El éxito del ataque en general es alto porque tiene como blanco el eslabón más débil de la cadena de seguridad, las personas.
Invertir en temas de concienciación es la mejor herramienta en eses casos.
Estar siempre desconfiado de comunicaciones raras y en caso de duda llamar al supuesto remitente por teléfono son buenas alternativas.
Y obviamente, contar con el apoyo de departamento de seguridad de información en todos eses casos es fundamental.