Abrir el correo electrónico se ha convertido en un pequeño deporte de riesgo cotidiano. Uno entra con la esperanza de encontrar algo útil, como un aviso del banco, un mensaje del trabajo, una cita con el dentista, información sobre un envío o una oferta real, y sale esquivando trampas, alertas falsas y promesas que huelen a timo desde el asunto. Entre todas ellas hay una que se repite con insistencia y que, paradójicamente, apela al cansancio del usuario: el famoso botón de ‘darse de baja’. Ese que parece ofrecer una salida digna al aluvión de spam y que, según advierten los expertos, puede ser justo lo contrario.
Alas para el ciberdelincuente
La advertencia la ha vuelto a poner sobre la mesa Maldita.es, que lleva tiempo alertando de los riesgos de interactuar con correos fraudulentos, incluso cuando parecen inofensivos. Porque pulsar en ese enlace para dejar de recibir mensajes no deseados puede confirmar algo muy valioso para los ciberdelincuentes: que detrás de esa dirección hay una persona real, activa y dispuesta a pinchar donde haga falta. “Le confirmas al atacante que tu cuenta de correo está activa, que hay una persona detrás que lee los mensajes y que eres propenso a interactuar con los enlaces”, explica al citado portal Daniel Fernández-Viagas, experto en ciberseguridad.
El riesgo no se queda ahí. Muchos de estos enlaces de cancelación no llevan a ninguna baja real, sino a webs fraudulentas que imitan a servicios legítimos. Allí se pide completar el proceso introduciendo credenciales, datos personales o incluso información bancaria. Todo con la excusa de dejar de recibir correos. Un negocio pésimo: no sólo no te quitan el spam, sino que además pueden vaciarte la cartera.
Además, como recuerda a Maldita.es Saúl Hernández Elvira, también experto en ciberseguridad, basta con acceder a esas páginas para que los atacantes recopilen metadatos: dirección IP, ubicación aproximada o tipo de dispositivo. Información suficiente para afinar ataques posteriores o vender esos datos a terceros.
Almacenamiento lleno en la nube
Uno de los cebos más habituales en los últimos tiempos es el correo que avisa de que el almacenamiento en la nube está a punto de llenarse. Ofrece ampliar espacio o confirmar datos de pago, y también incluye, cómo no, el botón de ‘anular suscripción’. Todo falso. Todo peligroso. Y todo diseñado para que el usuario, en su afán por solucionar un supuesto problema, actúe con prisa y sin pensar demasiado, algo que los delincuentes digitales saben provocar muy bien.
Eso no significa que nunca sea seguro darse de baja de una lista de correo. Como recuerda Kenia Mestre, especialista en protección de datos y también colaboradora de Maldita.es, en los correos comerciales legítimos ese botón no sólo es seguro, sino que es obligatorio. La Ley 34/2002 exige que exista esa opción y reconoce el derecho del usuario a usarla. La clave está en distinguir unos de otros: reconocer al remitente, haber tenido relación previa con la empresa, comprobar que el dominio es el oficial y huir de mensajes que transmiten urgencia o amenazas y que habitualmente están mal escritos.
Cómo evitarlo
Para reducir el ruido digital, el Instituto Nacional de Ciberseguridad (Incibe) recomienda marcar estos mensajes como spam desde el propio gestor de correo, bloquear al remitente y crear filtros automáticos. También aconseja usar direcciones de correo distintas: una principal para lo importante y otra secundaria para registros on line. Y, para la publicidad, apuntarse a la Lista Robinson.
Hay otros trucos adicionales. Hernández Elvira sugiere usar alias de correo o el símbolo '+' en Gmail para detectar qué servicios son los que filtran datos. Y existen herramientas como Firefox Relay o Hide My Email de iCloud, que generan correos temporales. Si empiezan a recibir basura, se desactivan y listo.
