Identificar correo electrónico fraudulento y tramas de suplantación de identidad

Se aplica a
Microsoft Office Outlook® 2003
Microsoft Outlook® 2000 y 2002

Detective Desde siempre existen los artistas del timo y ahora, que estamos en la era de Internet, están en el Web aprovechándose de los consumidores en línea sospechosos. El fraude en línea está al alza y las técnicas para crear mensajes de correo electrónico y sitios Web engañosos cada día son más complejas. Obtenga más información sobre lo que puede hacer para protegerse de este tipo de fraudes.

¿Qué es el fraude en línea o la suplantación de identidad (phishing)?

La suplantación de identidad (en inglés "phishing", que se pronuncia de forma parecida a "fishing", "pesca") es una técnica de fraude en línea utilizada por delincuentes para hacer que revele información personal. La suplantación de identidad es el método criminal en línea con el crecimiento más rápido utilizado para robar información financiera personal y perpetrar el robo de identidad.

Los suplantadores usan muchas tácticas distintas para atraer al usuario, incluidos el correo electrónico y los sitios Web que mimetizan marcas de todos conocidas y de confianza. Una práctica de suplantación de identidad común implica a los destinatarios de "correos no deseados" con mensajes falsificados que se parecen a un mensaje real de un sitio Web o de una compañía conocidos en los que pueden confiar los destinatarios, como una compañía de tarjetas de crédito, un banco, una entidad de caridad o un sitio de compras en línea de comercio electrónico. La finalidad de los mensajes falsos es engañar a los consumidores para que faciliten la siguiente información personal:

Los delincuentes usan esta información de muchas formas para obtener beneficios financieros. Por ejemplo, una práctica común es el robo de identidad, mediante la cual el delincuente le roba la información personal, adopta su identidad y, a continuación, puede realizar las siguientes acciones:

  • Solicitar y obtener un crédito en su nombre.
  • Dejar a cero su cuenta corriente y cargar el máximo en sus tarjetas de crédito.
  • Transferir dinero de sus inversiones o cuentas de línea de crédito a la cuenta la cuenta corriente y, a continuación, usar una copia de la tarjeta de crédito para retirar dinero en efectivo de la cuenta corriente y de cajeros automáticos (ATM) de todo el mundo.

Para ver sugerencias sobre cómo evitar ser víctima de un fraude en línea, vea la sección Prácticas recomendadas para ayudar a protegerse contra el fraude en línea más adelante en este artículo.

Ejemplos de tramas de suplantación de identidad

Entre los ejemplos de algunas tramas de suplantación de identidad, cabe destacar los siguientes:

  • Mensajes de correo electrónico falsos de la que parece ser una empresa con la que trabaja con la advertencia de que deben comprobar la información de su cuenta o ésta se cancelará.
  • Una combinación de fraude en subastas y falsos sitios de pago. Esto ocurre cuando se ponen artículos en venta en una subasta en línea legítima para incitarle a hacer pagos en un sitio de pago falso.
  • Falsas transacciones de venta en línea: un delincuente se ofrece a comprarle algo y le propone pagarle una cantidad superior al precio del artículo que va a comprar. A cambio, le pide que le envíe un cheque por la diferencia. No recibe el pago, pero su cheque se cobra y el ladrón se queda con la diferencia. Además, el cheque que envía contiene el número de cuenta, el código de identidad bancaria, la dirección y el número de teléfono.
  • Entidades de caridad falsas que le piden dinero. Desgraciadamente, muchos delincuentes se aprovechan de su buena voluntad.

Existen muchas más tramas de suplantación de identidad. Para obtener un informe actualizado de las tramas de suplantación de identidad que han descubierto las autoridades, visite el sitio Web Grupo de trabajo contra la suplantación de identidad.

¿Cómo se puede saber si un mensaje de correo electrónico es fraudulento?

Por desgracia, a medida que los ataques de suplantación de identidad se perfeccionan más, es muy difícil para una persona distinguir si un mensaje de correo electrónico o un sitio Web son fraudulentos. Éste es el motivo por el que las tramas de suplantación de identidad son tan frecuentes y beneficiosas para los criminales. Por ejemplo, muchos mensajes de correo electrónico y sitios Web establecen vínculos con logotipos reales de empresas de marcas conocidas para parecer legítimos. A continuación, se describe lo que puede hacer para protegerse:

  • Peticiones de información personal en mensajes de correo electrónico    La mayoría de las empresas legítimas tienen como política no pedir información personal a través del correo electrónico. Debe sospechar de los mensajes que pidan información personal, aunque parezcan legítimos.
  • Términos que denotan urgencia    La redacción de los mensajes de correo electrónico de suplantación de identidad suele ser cortés y servicial. Casi siempre intentan que responda al mensaje o que haga clic en el vínculo incluido en él. Para aumentar el número de respuestas, intentan crear una sensación de urgencia para que responda inmediatamente sin pensar. Habitualmente, los mensajes de correo electrónico malintencionados no están personalizados, mientras que los mensajes válidos procedentes de los bancos y empresas de comercio electrónico, sí suelen estarlo. El ejemplo siguiente corresponde a un caso real de suplantación:

Estimado y apreciado cliente de nuestro banco, nos han informado de la necesidad de actualizar la información de su cuenta bancaria debido a informes de inactividad, fraudes y falsificaciones. Si no actualiza sus registros procederemos a eliminar la cuenta. Siga los pasos del vínculo que se encuentra más abajo para confirmar sus datos.

Vínculo enmascarado

  • Tenga cuidado con las direcciones URL que incluyan el signo @. En el ejemplo siguiente, la dirección URL llevaría a la ubicación que va a continuación del signo @, no al Wood Grove Bank. Esto se debe a que los exploradores pasan por alto todo lo que vaya delante del signo @ de una dirección URL:

https://www.woodgrovebank.com@nl.tv/secure_verification.aspx

Es muy probable que la ubicación real, nl.tv/secure_verification.aspx, no sea un sitio seguro.

  • Otra técnica normal que se ha usado es una dirección URL que, a primera vista, corresponde al nombre de una compañía muy conocida pero si se fija más, está ligeramente modificada. Por ejemplo, www.microsoft.com podría aparecer como:

www.micosoft.com

www.verify-microsoft.com

www.mircosoft.com

Recientemente Microsoft ha ganado varios juicios contra individuos que han utilizado estos tipos de direcciones URL para falsificar propiedades legítimas de Microsoft. Sin embargo, la práctica continúa estando omnipresente y, con frecuencia, está protegida por las fronteras nacionales.

Otros tipos de imágenes colocadas en mensajes de correo electrónico se pueden vincular a un servidor de un remitente de correo no deseado y actuar como balizas Web (baliza Web: referencia externa, como una imagen gráfica, vinculada a un servidor Web externo que se inserta en un mensaje con formato HTML. Se puede utilizar para verificar que su dirección de correo electrónico es válida al abrir el mensaje y descargar las imágenes.). Cuando se abre el mensaje de correo electrónico, se descargan las imágenes y la información se pasa al servidor. Esta información se usa para comprobar que la dirección de correo electrónico es válida y, por tanto, puede volver a recibir correo no deseado. De forma predeterminada, Outlook bloquea automáticamente estos tipos de imágenes externas. Para obtener más información, vea Proteger la privacidad bloqueando la descarga automática de imágenes.

¿Cómo se puede saber si un sitio Web es un fraude?

De forma parecida a los mensajes de correo electrónico fraudulentos, los sitios Web fraudulentos contienen gráficos de logotipos y vínculos Web convincentes. Esto dificulta saber si son fraudulentos. La mejor estrategia es no hacer clic en los vínculos de mensajes sospechosos. Algunas de las cosas que se pueden buscar y que deberían tener los sitios Web legítimos son las siguientes:

 Importante   Tenga en cuenta que https:// a veces está falsificado en los vínculos, como en el ejemplo "vínculo enmascarado" mostrado en la sección de vínculos falsos.

certificado

Para obtener más información sobre el certificado, haga clic en la ficha Detalles. Si no está seguro de si un certificado es legítimo, no especifique ningún tipo de información personal. Vaya sobre seguro y salga del sitio Web. Para descubrir más formas de determinar si un sitio es seguro, lea Cómo ayuda Internet Explorer a mantener los datos seguros.

Prácticas recomendadas para ayudar a protegerse contra el fraude en línea

  • No responda nunca a mensajes de correo electrónico que soliciten información personal    No confíe nunca en ningún mensaje de correo electrónico procedente de empresas o personas que le pidan información personal o que le envíe información personal y le pida que la actualice o la confirme. En su lugar, utilice el número de teléfono de algún recibo para llamar a la empresa. No llame a ningún número que aparezca en el mensaje de correo electrónico. De forma similar, nunca proporcione información personal a nadie que le llame sin que usted lo haya solicitado.  
  • No haga clic en los vínculos de mensajes sospechosos    No haga clic en ningún vínculo que aparezca en un mensaje sospechoso. Es posible que el vínculo no sea de confianza. En su lugar, visite los sitios Web escribiendo su dirección URL en el explorador o usando el vínculo Favoritos. No copie vínculos de los mensajes ni los pegue en el explorador.
  • Utilice contraseñas seguras y cámbielas con frecuencia     Si su cuenta las permite, las contraseñas seguras combinan letras en mayúsculas y minúsculas, números y símbolos. De esta forma dificulta que otras personas puedan adivinarlas. No use palabras reales. Use una contraseña distinta para cada una de las cuentas y cámbielas con frecuencia. Es difícil recordar todas esas contraseñas. Para obtener sugerencias sobre la creación de contraseñas seguras y cómo recordarlas y almacenarlas de forma segura, vea Crear contraseñas más seguras.
  • No envíe información personal en mensaje de correo electrónico normales    Los mensajes de correo electrónico normales no se cifran y se envían de forma similar a las postales. Si debe usar mensajes de correo electrónico para transacciones personales, utilice Outlook para firmar digitalmente y cifrar mensajes mediante la seguridad S/MIME (S/MIME: Extensiones seguras multipropósito al correo de Internet (S/MIME) es un estándar de Internet para mensajes de correo electrónico cifrados y con firma digital.). MSN®, Hotmail®, Outlook Express, Microsoft Office Outlook Web Access, Lotus Notes, Netscape y Eudora son todos compatibles con la seguridad S/MIME.
  • Mantenga relaciones comerciales sólo con empresas que conozca y en las que confíe    Póngase en contacto sólo con empresas conocidas, establecidas y con reputación de proporcionar servicios de calidad. Un sitio Web comercial debe tener siempre una declaración de privacidad que afirme específicamente que la empresa no cederá su nombre ni su información a terceros.
  • Asegúrese de que el sitio Web utilice cifrado    La dirección Web debe ir precedida por https:// en lugar del habitual http:// en la barra de direcciones del explorador. Además, haga doble clic en el icono de candado Icono de candado de la barra de estado del explorador para mostrar el certificado digital del sitio. El nombre que sigue a Emitido para del certificado debe coincidir con el sitio en el que piensa que está. Si sospecha que un sitio Web no es lo que debe ser, abandónelo inmediatamente e informe de ello. No siga ninguna de las instrucciones que contenga.
  • Ayude a proteger su PC    Es importante que utilice un firewall, que mantenga el equipo actualizado y que utilice software antivirus, especialmente si se conecta a Internet mediante un módem por cable o un módem de línea de suscriptor digital (DSL). Para obtener información sobre cómo hacerlo, visite Proteger su PC. Para obtener información adicional sobre la protección frente a virus, vea Procedimientos recomendados para la protección frente a virus y Procedimientos recomendados para evitar el correo electrónico no deseado. También se recomienda que considere el uso de software antispyware. Puede descargar este software de Microsoft o utilizar un producto de otros fabricantes que esté disponible en el sitio de descargas y versiones de prueba de software de seguridad.
  • Supervise las transacciones    Revise las confirmaciones de pedidos y los extractos de sus tarjetas de crédito y sus cuentas bancarias en cuanto los reciba, para asegurarse de que sólo se le están cargando las transacciones realizadas. Informe inmediatamente de cualquier irregularidad en sus cuentas marcando el número que se muestra en el extracto bancario. Si utiliza una única tarjeta para las compras en línea le será más fácil hacer un seguimiento de las transacciones.
  • Utilice tarjetas de crédito para las transacciones de Internet    En la mayor parte del mundo, la responsabilidad personal en caso de que alguien ponga en peligro su tarjeta de crédito es muy limitada. Por el contrario, si usa el débito directo desde su cuenta bancaria o desde una tarjeta de débito, su responsabilidad personal será normalmente por el saldo completo de la cuenta bancaria. Además, para el uso en Internet es preferible la tarjeta de crédito que tenga el menor límite de crédito, porque así se limita la cantidad de dinero que el ladrón puede robar si obtiene los datos de la tarjeta. Mejor aún, varios de los principales emisores de tarjetas de crédito ofrecen ahora a los clientes la opción de comprar en línea con números de tarjeta de crédito virtuales, de un solo uso, que caducan al cabo de uno o dos meses. Para obtener información más detallada, pregunte a su banco sobre números de tarjeta de crédito virtuales con fecha de caducidad.

¿Cómo se informa de fraudes en línea y robos de identidad?

Si cree que ha recibido un mensaje de correo electrónico fraudulento o ha sido víctima de fraude en línea, puede informar del problema a las siguientes entidades:

  • FBI    El FBI: Centro de quejas de fraude de Internet (IFCC, Internet Fraud Complaint Center) trabaja en todo el mundo aplicando la ley y exigiendo a la industria que cierre inmediatamente sitios de suplantación de identidad e identifique a los autores que están detrás del fraude.
  • FTC     Si cree que su información personal se ha puesto en peligro o ha sido robada, debe informar de los hechos a la FTC: Recursos nacionales para la identificación de robos (National Resource for Identity Theft) y visitar su sitio para obtener información sobre cómo puede reducir los daños.
  • Adjuntar y enviar mensajes de correo electrónico falsos a las autoridades     Informar de mensajes falsos a las autoridades es útil para combatir las tramas de suplantación de identidad. Existe información oculta en el encabezado de un mensaje de correo electrónico que necesitan los expertos para desenmascarar el fraude o el abuso. De otra forma, quizá no puedan proseguir la investigación. Siga los pasos que se citan a continuación para enviar el encabezado completo del mensaje original del que desee informar. Algunas direcciones de correo electrónico que puede usar para informar de correo sospechoso son las siguientes:

reportphishing@antiphishing.org lleva al Grupo de trabajo contra la suplantación de identidad, una asociación de la industria.

spam@uce.gov lleva a la FTC.

abuse@msn.com lleva a MSN.

abuse@microsoft.com lleva a Microsoft.

En estos pasos, copie los encabezados del mensaje problemático en un nuevo mensaje. Asimismo puede adjuntar el mensaje problemático al nuevo mensaje.

  1. En Outlook, haga clic con el botón secundario en el mensaje sospechoso del que desee informar y, a continuación, haga clic en Opciones en el menú contextual.
  2. Para copiar los encabezados completos, haga clic con el botón secundario en el cuadro Encabezados de Internet y, a continuación, haga clic en Seleccionar todo en el menú contextual.
  3. Para copiar el encabezado completo, presione CTRL+C y, a continuación, haga clic en Cerrar.
  4. Abra un nuevo mensaje y escriba la dirección de correo electrónico de la empresa a la que va a informar del problema; por ejemplo, reportphishing@antiphishing.org.
  5. Si Microsoft Word es su editor de correo electrónico, haga clic en la flecha abajo Imagen del botón situado junto a Insertar archivoImagen del botón y, a continuación, haga clic en Elemento. Si Microsoft Word no es su editor de correo electrónico, en el menú Insertar, haga clic en Elemento.
  6. Haga clic en el mensaje del que desee informar y, a continuación, en Aceptar. De esta forma, se adjunta el mensaje problemático al nuevo mensaje.
  7. En la línea Asunto, escriba Informo de un correo electrónico sospechoso o lo que crea que mejor describa lo que está haciendo.
  8. En el cuerpo del nuevo mensaje, para copiar el encabezado que copió en el paso 3, presione CTRL+V.
  9. Haga clic en Enviar.

Sugerencias sobre seguridad en las compras y el uso de la banca en línea

Si desea que Microsoft le proporcione más información sobre formas de proteger su información personal mientras realiza compras o usa la banca en línea, visite el sitio Web Fraude en línea. Tenga presente que no todos los ladrones de identidad son hackers con conocimientos técnicos. Algunos usan métodos sencillos, como entrar en contendores, para robar la información personal. Compre una destructora de documentos y destruya las facturas, las ofertas de créditos preaprobados y el resto de los documentos con información personal antes de deshacerse de ellos o reciclarlos.

Cómo le ayuda Outlook 2003 a protegerse de tramas de suplantación de identidad

 
 
Corresponde a:
Outlook 2003