El otro día Jose, uno de los alumnos que tengo en el Curso Online de Fundamentos de la Seguridad y Privacidad Digital, me preguntaba tras una de las lecciones que si sería recomendable que desactivara la vista previa del email en su proveedor de correo para evitar posibles infecciones.
La cuestión es que luego preguntando por ahí me he dado cuenta de que mucha gente sigue pensando que esto puede ocurrir, así que me he animado a escribir una pieza para hablar públicamente de ello y arrojar un poco de luz sobre el asunto.
¿Puedo infectarme con un «virus» por abrir un correo?
La respuesta rápida es que NO.
Esto, de hecho, solo fue real con algunos proveedores de correo y a principios de siglo.
Es más, el propio Outlook en su día tenía varias vulnerabilidades que en teoría, y con un poco de ingenio, sí podían llegar a infectar un dispositivo simplemente por el hecho de abrir un email.
Pero, ¿cómo era esto posible?
Pues por si no lo sabes los correos electrónicos están compuestos por un texto (el propio email) acompañado de una serie de etiquetas HTML. Etiquetas que son en algunos casos semejantes a las que utilizamos para desarrollar páginas web.
Un email puede tener su <header>, su <body> y su <footer>, y además un <a href=»URL»> que nos permite colocar enlaces, un <img src=»IMG»> que nos permite colocar imágenes, y en definitiva, muchísimas etiquetas HTML para expandir el formato puro de texto, en lo que viene llamándose «texto enriquecido».
Todavía hoy en día hay muchos proveedores de correo que, por defecto, no cargan HTML o imágenes. Pero ojo, que esto se hace más por usabilidad y por privacidad que realmente por seguridad. Y me explico:
- Usabilidad: La mayoría de las veces del email lo que nos interesa es el propio texto, y por tanto, si no cargamos los componentes HTML, el email aparecerá sin diseño pero cargará al momento, mostrando solo la parte más importante, y eliminando otros elementos que quizás no sean críticos.
- Privacidad: Muchas veces ese HTML se utiliza para enlazar imágenes de apenas un pixel de tamaño que están en un servidor en particular, y que permiten al emisor del mensaje saber que has abierto ese email. Algo que ocurre también en las webs, por cierto, y que grandes de la industria como Facebook, Google o Twitter lo utilizan por defecto en sus botones de compartir.
Pues en su día algunos proveedores de correo permitían además que en el propio cuerpo del mensaje se incluyera una serie de etiquetas que permitían cargar JavaScript, abriendo la veda a que en efecto solo con la apertura de un correo un atacante pudiera forzar la descarga de algún componente malicioso.
Sin embargo hoy en día, y al menos cuando hablamos de proveedores actuales y actualizados, esto ya no es posible.
Actualización un par de meses más tarde: Es más, en el Informe Anual sobre el Factor Humano (EN/PDF) de Proofpoint llegaban a la conclusión de que más del 99 % de los correos electrónicos que distribuyen malware requieren la intervención humana para infectar. Es decir, que a no ser que descargues y abras el documento, no hay manera de infectarte.
Otra cosa es que todavía estés utilizando una versión muy anticuada de un gestor de correo instalado, por ejemplo, en tu servidor, y que en efecto podría ser todavía vulnerable a este tipo de ataques.
¿De qué ataques deberías preocuparte en el email?
Si bien abrir un email no es, a priori, un vector de ataque, sí lo puede ser abrir un archivo adjunto o clicar en un enlace que incluya ese email.
- En el primer caso podemos estar descargando un archivo que no es realmente el que dice ser (en vez de una imagen puede ser un ejecutable, o ese documento de texto puede contener una macro en su interior que carga a su vez un malware).
- En el segundo, ese enlace podría dirigirnos a una página específicamente creada para infectar nuestro dispositivo y/o engañarnos haciéndonos pensar que estamos ante una web legítima, cuando realmente no lo es.
Estas dos estrategias están a la orden del día en la amplia mayoría de ataques de phishing y extorsiones en la red. Y aplican por igual al mundo del email como al de las redes sociales y servicios de mensajería.
Por ese mismo motivo, de hecho, es por lo que recomiendo a todos mis clientes migrar a una suite como la de Google o Microsoft, habida cuenta de que GMail y Outlook como servicio han demostrado ser dos de las plataformas más seguras del momento, bloqueando por defecto hasta el 99,9% (en el caso de GMail) de correos fraudulentos.
Y eso es, a fin de cuentas, problemas que te quitas tanto a título personal, como a nivel de toda la organización (un trabajador descarga un malware y ese infecta al resto de dispositivos en red).
Habrá que ver, no obstante, cómo queda el escenario cuando el AMP de Google empiece a ser un estándar en el email.
Ya dije en su día que el movimiento, aunque interesante por toda la funcionalidad extra que agrega a la figura histórica de un mail, se me antoja muy peligrosa, ya que abre muchísimo el entorno a posibles tergiversaciones.
Y que a fin de cuentas el email tal cual funciona actualmente cumple su cometido.
Pero mientras tanto, puedes abrir tranquilamente todos los correos. Incluso los maliciosos.
Lo que sí tienes que tener cuidado es con los enlaces y adjuntos que pinchas. Porque ahí puede venir la sorpresa… desagradable.
________
¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?
Revisa mi setup de trabajo, viaje y juego (ES).
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.
Muy clara tu información pero que pasa si lo quise borrar y este empezó a enviarse y no logré cancelarlo?? Estoy en riesgo?? Que debo hacer para proteger mis cuentas y apps importantes??
¿Que se empezó a enviar el email él solo? Si es así, probablemente es que tu cuenta esté comprometida. Y para ello el primer paso es revisar qué aplicaciones de terceros tienen acceso a ella, eliminando las que no deberían estar ahí, y luego cambiar la contraseña y/o activar un segundo factor de autenticación, y forzar a que se desloguee cualquier dispositivo donde esté la sesión abierta.
Hay riesgo de infección si responde un mail?
Es decir, quizas con responder ellos obtienen datos de dónde vino, qué proveedor de internet se usó, cuáles son las medidas de seguridad que cuento en mi equipo, etc.
Gracias!
En ese caso, sí.
Al responder, realmente podrían obtener información tuya, como la IP desde donde sale el correo, o datos que tengas ya expuestos públicamente en tu cuenta de correo, como el nombre o lo que tengas en la firma.
Y ya, puestos a rizar el rizo, haciendo OSINT sería posible probablemente obtener más información personal. Pero bueno, ya requiere unos conocimientos técnicos mínimos, y tiempo además para analizar todos esos datos y transformarlos en información
hola he recibido un mail en el telefono con android 12 al abrir la notificacion me parecio que se cerro la app de gmail y se ejecuto algo de inmediato lo reinicie crees que ha sido infectado? no abri ningun enlace solo abri la notificacion.
No lo creo, la verdad. Tiene más pinta de que ha sido un error puntual de la aplicación. Es muy complicado, como explico en el mail, que el ataque no requiera abrir un adjunto o aceptar unos permisos.
Hay malware que afecta con zero click, pero es muy poco común y muy caro.