La suplantación de identidad de un remitente o spoofing es un problema muy grave de seguridad para el email marketing de una empresa. Se trata de un ciberataque en el que se suplanta la identidad de una marca o empresas para engañar al usuario. Estos ciberdelitos son un riesgo tanto para el remitente como para el destinatario, porque suelen ser de tipo económico, como robo de datos de tarjetas de crédito u otra información personal, y las empresas más afectadas son las relacionadas con redes sociales, logística, tiendas online y aquellas que envían mensajes transaccionales.
La plataforma de email marketing Acrelia, especializada en la gestión de las comunicaciones digitales de empresas y organizaciones de forma segura, advierte sobre el impacto del email spoofing en las marcas y ofrece una serie de recomendaciones para evitar estos ataques, que comprometen tanto a las empresas como a sus clientes. Lidia Castillejo, responsable de desarrollo de negocio de Acrelia, señala que estos ataques no solo dañan la reputación de las marcas, sino que también erosionan la confianza de los usuarios en sus productos y servicios.
Consejos para protegerse de un ataque de email spoofing
La suplantación de identidad puede producirse usando un dominio del remitente del correo electrónico o por la IP.Los atacantes, utilizan técnicas para falsear las cabeceras de los mensajes, haciendo que parezca fiable cuando no es auténtico.
Este daño a la marca es difícil de superar porque, tras una experiencia tan negativa como pérdidas económicas por fraude, pueden no sentirse cuidados ni protegidos por la organización y querer darse de baja de futuras comunicaciones. Además, cuando el usuario pierde la confianza en los envíos legítimos, se extiende a sus productos o servicios.
Según los expertos de Acrelia, una empresa que hace envíos masivos puede evitar un ataque de spoofing contra la marca protegiendo su reputación como remitente. Para minimizar el riesgo de sufrir un ataque de estas características, la plataforma recomienda adoptar una serie de medidas de seguridad:
- Verificar la identidad implantando protocolos como el registro SPF para la IP, dkim para la firma de mensajes y el DMARC para el dominio. Autenticar el remitente es la opción más efectiva y además hace que mejore la entregabilidad y que los correos fraudulentos vayan directamente a la bandeja de spam.
- Asegurarse de tener una lista limpia de cuentas inactivas para evitar trampas. La mayoría de plataformas solo se encargan de eliminar las bajas y las devoluciones, pero Acrelia permite verificación de emails para detectar otro tipo de cuentas que hay que limpiar de forma regular.
- Enviar mensajes que pasen sin dificultad los filtros anti-spam para que los gestores de correo no los bloqueen. Esto es una buena práctica a la que conviene prestar atención en cada envío.
- Usar un proveedor de confianza o proteger el servidor de correo para frenar la suplantación de identidad. “En Acrelia contamos con la certificación ENS para demostrar este compromiso”, señala Castillejo.
Educando a los destinatarios: trucos para no caer en un email spoofing
Para que los destinatarios confíen en un remitente, desde Acrelia recomiendan hacer labores educativas y enviarles mensajes sobre cómo evitar caer en una campaña de spoofing. Puede ser una campaña dedicada a ello o pequeñas sugerencias incluidas en las comunicaciones que se envían, por ejemplo, en una newsletter, con indicaciones y señales de alerta, entre las que Acrelia señala las siguientes:
- Correos provenientes de proveedores gratuitos en lugar de dominios propios. Desde febrero de 2024, tanto Google como Yahoo! tratan de luchar contra el spam no permitiendo enviar más de 5.000 emails al día desde sus cuentas gratuitas si no se verifica el dominio.
- Mensajes que solicitan contraseñas o datos sensibles con urgencia. Usar una autentificación en dos pasos para acceder a las cuentas es la opción más segura en estos casos.
- Diseños sospechosos con errores ortográficos o enlaces a páginas con nombres similares a los oficiales. El motivo suele ser una mala traducción porque no se trata de un mensaje originalmente escrito en castellano.
- Enlaces acortados o que van a páginas con nombres parecidos a los oficiales. Aunque lo primero ya es motivo para disminuir la entregabilidad, lo segundo tiene otra solución que es fijarse bien antes de hacer clic.
- Archivos adjuntos inesperados y no solicitados. Salvo cuando se trata de facturas, registros y otros documentos propios de mensajes transaccionales, es poco habitual que en envíos masivos se adjunte un archivo sin caer en el spam.