Exploramos algunas de las razones que nos ayudan a entender por qué Hotmail ha sido objeto de tantos ataques de suplantación de identidad a lo largo de los años y repasamos consejos clave para mantener la seguridad como usuario.
Hotmail: una historia de popularidad y vulnerabilidades
El 4 de julio marca un hito importante en la historia de la tecnología digital, ya que celebramos el lanzamiento de Hotmail en 1996, el cual se convertiría en uno de los primeros, más conocidos y más utilizados servicios de correo electrónico web gratuitos en el mundo. Sin embargo, esta fama ha tenido sus costos, ya que también ocupa un lugar destacado entre los servicios más afectados por ataques de phishing.
A lo largo de los años, Hotmail ha experimentado muchísimos cambios, ha sido víctima de una enorme cantidad campañas de suplantación de identidad, así como brechas de seguridad y filtraciones de cuentas, lo que ha resultado en la disponibilidad de un gran número de credenciales comprometidas en la dark web.
Por otro lado, el mundo del cibercrimen se ha ido complejizando y actualmente encontramos todo tipo de engaños cada vez más elaborados. Una de las técnicas más utilizadas por los cibercriminales son los ataques homográficos. La misma consiste en crear URL falsa tomando como referencia la URL de un sitio legítimo, y reemplazando algunos caracteres por otros similares para que a primera vista parezca el sitio oficial.
Este tipo de ataques suele aprovecharse de la similitud visual entre caracteres de diferentes alfabetos o scripts que son similares a los del alfabeto latino. Por lo tanto, son especialmente efectivos para engañar a usuarios desprevenidos y Hotmail se está convirtiendo en uno de los objetivos predilectos.
Si entendemos al phishing como tácticas engañosas utilizadas por los ciberdelincuentes para obtener información confidencial (como nombres de usuario, contraseñas y datos personales), podemos decir que los ataques homográficos son un método sofisticado de phishing para hacer que resulte más difícil detectar que un sitio es falso.
Una tendencia alarmante: phishing, ataques homográficos, campañas maliciosas y envío de spam en servicios populares
El reporte de amenazas de ESET, Threat Report, publicado en febrero de 2023 reveló que los dominios que se hacen pasar por Hotmail han sido los más numerosos tanto en el tercer trimestre de 2022 como en el año 2022 en su totalidad. Es decir, Hotmail ha sido el servicio más suplantado en 2022.
Según explica el informe, su popularidad, su larga historia y brechas sufridas, y la amplia base de usuarios que poseen cuentas de correo electrónico de Hotmail ?? son los factores clave que explicanla recurrente utilización del mismo en este tipo de ataques. No obstante, si bien este correo web de Microsoft, actualmente llamado Outlook, es uno de los servicios más suplantados, no es el único.
En la actualidad, otros servicios populares como DHL, Facebook, Mastercard, Google, Paypal y Netflix también se utilizan frecuentemente en ataques de phishing altamente efectivos. Pero, ¿por qué estos ataques son tan persistentes y efectivos?
Aunque pueda parecer irónico, la popularidad de estos servicios es precisamente lo que los convierte en un blanco tan tentador, ya que los ciberdelincuentes se aprovechan de la confianza que los usuarios depositan en estas marcas reconocidas para engañarlos y robar sus datos confidenciales.
Pero, además de robar credenciales, los sitios falsos que imitan a estos servicios también se utilizan para el envío de campañas maliciosas (masivas o dirigidas) que pueden incluir el envío de spam o de malware, como, por ejemplo, troyanos de acceso remoto capaces de realizar múltiples acciones de manera remota sobre el equipo infectado.
¿Cómo protegerse frente a este panorama?
Afortunadamente, existen varias medidas que podemos implementar para minimizar el riesgo de caer en las técnicas utilizadas por los ciberdelincuentes. En ESET comprendemos la importancia de proteger tus cuentas y mantener la seguridad en línea. Aquí hay algunas acciones concretas que puedes tomar:
- Utiliza contraseñas sólidas
Crea contraseñas fuertes y únicas, evitando utilizar información personal fácilmente deducible y cámbialas regularmente. Según el informe de ESET, más de 3.2 mil millones de combinaciones de correo electrónico/contraseña se han filtrado en la web. Considera el uso de una combinación de letras, números y caracteres especiales y evita reutilizar la misma contraseña en diferentes plataformas. Tip: siempre puedes aprovechar el generador de claves aleatorias gratuito de ESET.
- Mantén tus dispositivos y software actualizados
Actualiza regularmente todos tus dispositivos, sistemas operativos y aplicaciones con las últimas versiones y parches de seguridad. Esto ayuda a protegerte contra vulnerabilidades conocidas que los ciberdelincuentes pueden aprovechar. Recomendamos, siempre que sea posible, actualizar en el mismo momento cada vez que un sistema o aplicación te lo sugiera y así evitar olvidos.
- Habilita la autenticación de doble factor (2FA)
Activa la autenticación de dos factores en tus servicios de correo electrónico. Esta medida adicional de seguridad requerirá un segundo factor, como un código enviado a tu teléfono móvil o un dato biométrico, para acceder a tu cuenta. Esto dificulta enormemente el acceso no autorizado incluso si alguien obtiene tus credenciales de inicio de sesión.
- Presta atención a los correos electrónicos sospechosos
Desconfía de los correos electrónicos que soliciten información personal o financiera, especialmente aquellos que parecen provenir de Hotmail. Verifica siempre la dirección de correo electrónico del remitente y EVITA hacer clic en enlaces o descargar archivos adjuntos de fuentes desconocidas o sospechosas.
- Verifica la autenticidad de los sitios web
Es muy importante que al realizar una búsqueda en Google revisemos que la URL de esos sitios sean las del sitio oficial y comparemos entre los demás resultados. Además, antes de ingresar tus credenciales en cualquier sitio web, verifica cuidadosamente que sea legítimo. Presta atención a la URL, busca el candado de seguridad y evita hacer clic en enlaces sospechosos. Es clave para la seguridad adquirir el hábito de corroborar que los sitios que se ofrecen son legítimos o no.
- Mantente informado sobre las últimas tácticas de phishing
Mantén un ojo en las actualizaciones sobre seguridad y las noticias relacionadas con los ataques de phishing. Estar al tanto de las tácticas utilizadas por los ciberdelincuentes te ayudará a reconocer los intentos de phishing y a tomar medidas preventivas adecuadas.
En resumen, proteger tus cuentas requiere atención y medidas proactivas. Al seguir los consejos mencionados y estar consciente de los riesgos, podrás disfrutar de los servicios digitales de manera más segura. Aquí puedes encontrar tu solución ideal de ESET para mantener tu información, cuentas, dispositivos e identidad en línea protegidos.