Motivados por un artículo compartido por nuestro primo-hermano Marketing4eCommerce, en el que habla de cómo los archivos adjuntos son una puerta de entrada directa de los malware a nuestra información personal, directamente aplicado a los mensajes de correo electrónico, nos ha surgido una duda: ¿todos los aquí presentes tenemos bien claro qué son las técnicas maliciosas en el Email Marketing? ¿Qué es el phishing? ¿Sabemos que no es lo mismo -en absoluto- que el SPAM? ¿Y que nada tiene que ver con la correcta y transparente implementación del Email Marketing?
Bien, pues entonces (y para quedarnos más tranquilos), hoy vamos a diferenciar y hablar bien alto y claro sobre qué el phishing y de cómo el Email Marketing implementado de manera adecuado no tiene nada que ver con esta técnica.
¿Qué es el phishing?
Lo primero por lo que queremos empezar es por definir de manera adecuada qué es el phishing. Bien, el phishing consiste en una técnica digital que utilizan los piratas informáticos o hackers con la finalidad de robar datos personales de los usuarios, suplantando la identidad de un remitente y haciéndose pasar por alguien cercano al usuario atacado, como por ejemplo un organismo público, un banco, un compañero de trabajo, etc. De esta manera, consiguen entran por todo lo alto a la bandeja de entrada del usuario, y que -casi sin pensarlo- éste abra el correo electrónico y realice lo ahí plasmado.
Pongamos un ejemplo: recibimos un correo electrónico de, por ejemplo, nuestro superior directo, en donde aparece una URL a la que, evidentemente, vamos a hacer clic. Una vez ahí, llegamos a una web que intentará persuadirnos para que introduzcamos unos datos y información personal determinada en los campos con los que cuente. Inclusive, podría solicitarnos nuestro número de cuenta, tarjeta bancaria, contraseñas de acceso a nuestro bancos, redes sociales, correo electrónico, etc.
Una vez facilitados -de manera engañosa- por parte del usuario, es cuando los hackers y ciberdelincuentes empiezan con su festín, y a hacer su trabajo: utilizar nuestros datos de forma ilícita.
¿Cómo puede ser que consigan engañarnos?
Si hay una cosa que tenemos clara es que los ciberdelincuentes son sumamente inteligentes, y van (casi siempre) un paso por delante de nosotros. Con esto queremos decir que, en los mensajes que se utilizan al iniciar una campaña de phishing, sobre todo en el Email Marketing, los hackers buscan intentar suplantar la identidad del presunto remitente de manera total, es decir, si -por ejemplo- el mensaje viene de uno de nuestros proveedores de confianza en nuestro trabajo, seguramente ese mensaje lleve la firma del presunto remitente, el logo corporativo de la empresa del proveedor, la tipografía que normalmente el usuario hackeado utiliza en sus mensajes con nosotros, etc, etc. Es decir, los hackers se esfuerzan en que no levante sospechas, y lo hacen muy bien, la verdad.
Y, además, saben jugar perfectamente con nuestra mente, porque… ¿cuándo a ti o a mi puede llamarnos más la atención un correo electrónico que otro? Cuando éste hable de regalos, sorteos, promociones, etc. ¿Verdad? «Haz clic aquí para participar en el concurso de un perfume […] Queremos premiarte por ser nuestro mejor cliente…», ¿no? ¿No harías clic? Seguramente sí, y más si no tienes duda de quién es la marca remitente, y confías en ella. Ahí está la ventaja diferencial con la que juegan los hackers que realizan estas campañas de malware.
¿Qué debemos hacer cuando detectemos un phishing?
A pesar de que es difícil detectar un caso de phishing antes de que suceda (es decir, viendo la intención y previniéndolo), no siempre se consigue. No obstante, si por la razón que sea lo vives, has de saber cómo proceder:
- Lo primero que has de hacer es avisar al usuario presuntamente remitente, es decir, imaginemos que el mensaje de correo electrónico que acaba de entrar en tu bandeja de entrada tiene como remitente un organismo institucional; del que evidentemente no dudas. Pero resulta ser un caso de phishing que buscar suplantar identidad e iniciar esos robos de información. En ese caso, es necesario que avises al organismo en cuestión, dado que puede ser que se esté cometiendo en otras ocasiones. De esta manera, podrán prevenir a su base de datos de la existencia de tal situación.
- En segundo lugar, deberás denunciar el caso ante la Agencia Español de Protección de Datos y las Fuerzas y Cuerpos de Seguridad del Estado. Ellos sabrán cómo proceder, pero, como mínimo, es necesario que se lo notifiques y les detalles bien todo la información que te soliciten al respecto.
¿Tiene algo que ver con el SPAM?
No. Esto queremos que te quede bien claro: la única finalidad del phishing es el robo de datos e información personal, para utilizarlos de manera ilícita, por ejemplo, vendiendo bases de datos, suplantando identidades, etc, etc. El SPAM, sin embargo, consiste en dar un uso inadecuado e inapropiado a un mensaje comercial, pero no persigue el robo de información.
Dicho en otras palabras, un mensaje de SPAM posiblemente busque redirigirte a un sitio web que te anuncia un producto o servicio diferente del que te había informado previamente en su asunto/cuerpo de mensaje. Es decir, te incita a efectuar una acción engañándote sobre cómo llegar a ella. El phishing, sin embargo, busca dirigirte a un sitio web que te anuncia un producto o servicio y, si lo que quieres es llegar disponer de él, deberás dejar cierta información personal.
Ahora bien, ya se trate de phishing o de spam, es importante que sepas que una de las principal fuentes de propagación con las que los atacantes logran su objetivo es a través de cadenas de correos, con chistes, historias, noticias o cualquier tipo de contenido susceptible de convertirse en viral.
Por lo que, querido e-marketer, ¡estate con mil ojos y no dejes que nadie te engañe!
