NADIE puede infectarte con un malware simplemente por abrir un email

Correo malicioso

El otro día Jose, uno de los alumnos que tengo en el Curso Online de Fundamentos de la Seguridad y Privacidad Digital, me preguntaba tras una de las lecciones que si sería recomendable que desactivara la vista previa del email en su proveedor de correo para evitar posibles infecciones.

La cuestión es que luego preguntando por ahí me he dado cuenta de que mucha gente sigue pensando que esto puede ocurrir, así que me he animado a escribir una pieza para hablar públicamente de ello y arrojar un poco de luz sobre el asunto.

¿Puedo infectarme con un «virus» por abrir un correo?

La respuesta rápida es que NO.

Esto, de hecho, solo fue real con algunos proveedores de correo y a principios de siglo.

Es más, el propio Outlook en su día tenía varias vulnerabilidades que en teoría, y con un poco de ingenio, sí podían llegar a infectar un dispositivo simplemente por el hecho de abrir un email.

Pero, ¿cómo era esto posible?

Pues por si no lo sabes los correos electrónicos están compuestos por un texto (el propio email) acompañado de una serie de etiquetas HTML. Etiquetas que son en algunos casos semejantes a las que utilizamos para desarrollar páginas web.

Un email puede tener su <header>, su <body> y su <footer>, y además un <a href=»URL»> que nos permite colocar enlaces, un <img src=»IMG»> que nos permite colocar imágenes, y en definitiva, muchísimas etiquetas HTML para expandir el formato puro de texto, en lo que viene llamándose «texto enriquecido».

Todavía hoy en día hay muchos proveedores de correo que, por defecto, no cargan HTML o imágenes. Pero ojo, que esto se hace más por usabilidad y por privacidad que realmente por seguridad. Y me explico:

  • Usabilidad: La mayoría de las veces del email lo que nos interesa es el propio texto, y por tanto, si no cargamos los componentes HTML, el email aparecerá sin diseño pero cargará al momento, mostrando solo la parte más importante, y eliminando otros elementos que quizás no sean críticos.
  • Privacidad: Muchas veces ese HTML se utiliza para enlazar imágenes de apenas un pixel de tamaño que están en un servidor en particular, y que permiten al emisor del mensaje saber que has abierto ese email. Algo que ocurre también en las webs, por cierto, y que grandes de la industria como Facebook, Google o Twitter lo utilizan por defecto en sus botones de compartir.

Pues en su día algunos proveedores de correo permitían además que en el propio cuerpo del mensaje se incluyera una serie de etiquetas que permitían cargar JavaScript, abriendo la veda a que en efecto solo con la apertura de un correo un atacante pudiera forzar la descarga de algún componente malicioso.

Sin embargo hoy en día, y al menos cuando hablamos de proveedores actuales y actualizados, esto ya no es posible.

Actualización un par de meses más tarde: Es más, en el Informe Anual sobre el Factor Humano (EN/PDF) de Proofpoint llegaban a la conclusión de que más del 99 % de los correos electrónicos que distribuyen malware requieren la intervención humana para infectar. Es decir, que a no ser que descargues y abras el documento, no hay manera de infectarte.

Otra cosa es que todavía estés utilizando una versión muy anticuada de un gestor de correo instalado, por ejemplo, en tu servidor, y que en efecto podría ser todavía vulnerable a este tipo de ataques.

¿De qué ataques deberías preocuparte en el email?

Si bien abrir un email no es, a priori, un vector de ataque, sí lo puede ser abrir un archivo adjunto o clicar en un enlace que incluya ese email.

  • En el primer caso podemos estar descargando un archivo que no es realmente el que dice ser (en vez de una imagen puede ser un ejecutable, o ese documento de texto puede contener una macro en su interior que carga a su vez un malware).
  • En el segundo, ese enlace podría dirigirnos a una página específicamente creada para infectar nuestro dispositivo y/o engañarnos haciéndonos pensar que estamos ante una web legítima, cuando realmente no lo es.

Estas dos estrategias están a la orden del día en la amplia mayoría de ataques de phishing y extorsiones en la red. Y aplican por igual al mundo del email como al de las redes sociales y servicios de mensajería.

Por ese mismo motivo, de hecho, es por lo que recomiendo a todos mis clientes migrar a una suite como la de Google o Microsoft, habida cuenta de que GMail y Outlook como servicio han demostrado ser dos de las plataformas más seguras del momento, bloqueando por defecto hasta el 99,9% (en el caso de GMail) de correos fraudulentos.

Y eso es, a fin de cuentas, problemas que te quitas tanto a título personal, como a nivel de toda la organización (un trabajador descarga un malware y ese infecta al resto de dispositivos en red).

Habrá que ver, no obstante, cómo queda el escenario cuando el AMP de Google empiece a ser un estándar en el email.

Ya dije en su día que el movimiento, aunque interesante por toda la funcionalidad extra que agrega a la figura histórica de un mail, se me antoja muy peligrosa, ya que abre muchísimo el entorno a posibles tergiversaciones.

Y que a fin de cuentas el email tal cual funciona actualmente cumple su cometido.

Pero mientras tanto, puedes abrir tranquilamente todos los correos. Incluso los maliciosos.

Lo que sí tienes que tener cuidado es con los enlaces y adjuntos que pinchas. Porque ahí puede venir la sorpresa… desagradable.

________

¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?

Revisa mi setup de trabajo, viaje y juego (ES).

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.