Advertencia: Ataque de suplantación de identidad o phishing por email

¿Qué es el phishing o suplantación de identidad?

El phishing o suplantación de identidad se refiere al envío de mensajes maliciosos, normalmente efectuados mediante correo electrónico, que tienen la apariencia de proceder de una fuente de confianza (tanto de organismos públicos: AEAT, DGT, Sanidad, etc., como de organismos privados reconocidos: Amazon, Iberdrola, Correos, Notificados, etc.) pero que en realidad pretenden engañar al receptor de dicho mensaje para robar información confidencial y/o para descargarse malware o virus.

¿Cómo detectar si el mensaje que he recibido es legítimo?

En primer lugar, si no lo has hecho ya, inscríbete al servicio gratuito de alertas que proporciona el Instituto Nacional de Seguridad (INCIBE) para recibir avisos o alertas de campañas de phishing que estén activas y así poder descartar directamente cualquier correo electrónico que coincida con lo advertido por el INCIBE.

En segundo lugar, si no tienes claro si el mensaje recibido es legítimo o no, te invitamos a que puedas seguir las excelentes sugerencias que ha publicado este organismo, el INCIBE, consultando el siguiente artículo: https://www.incibe.es/protege-tu-empresa/blog/dudas-legitimidad-correo-aprende-identificarlos.

En tercer lugar, una recomendación básica pero efectiva: si no puedes confirmar que el mensaje recibido es legítimo, accede siempre a los sitios web escribiendo la dirección directamente en el navegador sin pulsar ningún enlace que se ofrezca en el cuerpo del mensaje. Así te vas a asegurar siempre de no acceder a un sitio web que realmente no sea el que quieres acceder y además tampoco descargarás ningún archivo malicioso. Por ejemplo, si recibes un correo electrónico como alguna campaña de phishing realizada contra Notificados que te invita a “Descargar los archivos adjuntos”, NUNCA pulses sobre dicho enlace. Accede al sitio web oficial, en este caso www.notificados.com, y si es legítimo, te habremos proporcionado las instrucciones para proceder a la tramitación requerida en el cuerpo del mensaje. Tanto Notificados, como cualquier otro organismo público o privado susceptible de este tipo de ataques, nunca te va a requerir datos personales ni va a solicitar que descargues ningún tipo de documentación ni archivo sin que ANTES hayamos podido verificar tu identidad, con los mecanismos electrónicos disponibles actualmente (OTP, firma electrónica, etc.).

¿Hay alguna forma de que el remitente del mensaje pueda garantizar la integridad de los mensajes enviados?

Actualmente, la tecnología ha evolucionado notablemente en los últimos años incorporando protocolos normalizados que permiten la reducción del impacto de este tipo de campañas de phishing. Especialmente en los casos de correos electrónicos existen tres protocolos:

• Sender Policy Framework o SPF (https://es.wikipedia.org/wiki/Sender_Policy_Framework). 
• DomainKeys Identified Mail o DKIM. (https://es.wikipedia.org/wiki/DomainKeys_Identified_Mail)
• Domain-based Message Authentication, Reporting and Conformance o DMARC. (https://es.wikipedia.org/wiki/DMARC)

Toda entidad pública o privada, debería tener correctamente configurados estos tres protocolos para evitar la máxima difusión en campañas de phishing. Decimos evitar la máxima difusión, debido a que, incluso con esta tecnología, es imposible evitar el 100% de una campaña de este tipo, debido a que muchos servidores de correo electrónico aún no interpretan correctamente estos tres protocolos (especialmente DMARC), por lo que es posible que, aún utilizando los medios que la tecnología pone a nuestro alcance, los delincuentes que efectúan este tipo de campañas puedan llegar a algún destinatario. En Notificados tenemos implementados todos los sistemas de legitimidad de correo que se mencionan en este artículo: SPF, DKIM y DMARC.

¿Has recibido algún mensaje de correo electrónico de phishing de Notificados?

Especialmente a partir de Octubre de 2020, se ha detectado una campaña de phishing de Notificados, que proviene especialmente de países de fuera de España, lo que dificulta a su vez a los organismos oficiales encargados de este tipo de delitos, como la Policía Nacional o la Guardia Civil, solucionar rápidamente estas campañas delictivas de phishing.

Recuerda, en una campaña de phishing Notificados no tiene absolutamente nada que ver ni con el contenido del email ni con la recopilación o tratamiento de los datos empleados en tal campaña, como el correo electrónico o el nº de teléfono del destinatario, que los delincuentes habrán extraído de otras bases de datos ilegales.

Aprende a identificar rápidamente estos mensajes fraudulentos de la siguiente manera:

• Recuerda llevar a cabo todo lo recomendado en el artículo publicado por el INCIBE, y a parte, toma en cuenta las siguientes sugerencias específicas para Notificados. 
• Descarta cualquier correo electrónico recibido de direcciones de correo electrónico que no existen en Notificados, como: burofax@notificados.com, notificados@notificados.com, notificadosXXX@notificados.com (donde XXX es un número aleatorio), notifica@notificados.com, notificacion@notificados.com, envio@notificados.com.
• Descarta cualquier correo electrónico que te invite o que te diga que debes descargar algún archivo o que contenga alguna imagen. En Notificados nunca enviamos correos en los que debas acceder a la descarga de ningún archivo ni incluiremos ninguna imagen de un supuesto burofax o comunicación embebida en el cuerpo del mensaje. Para recibir un burofax electrónico y/o una comunicación certificada electrónica como destinatario de la misma, siempre deberás acreditar tu identidad previamente en nuestro sitio web.
• Descarta cualquier correo electrónico que te solicite acceder a Notificados desde un enlace distinto a los siguientes sitios web: 
  • notificados.com
  • enotif.es

Recuerda que si tienes cualquier duda, puedes contactar con Notificados para verificar la identidad y contenido del mensaje recibido.

Lo mejor que podemos hacer los emisores de mensajes para evitar el phishing es ser previsores, y lo hacemos adoptando los estándares y protocolos para cada tecnología que utilicemos: así lo hacemos en Notificados.

Lo mejor que podemos hacer los receptores de los mensajes para evitar el phishing es ser prudentes: asegúrate de la autenticidad del emisor y del contenido ante la más mínima sospecha.

Actualización 10.11.2020

La campaña de spoofing y phishing hacia Notificados y otros organismos públicos y privados sigue activa, seguimos confiando en que las autoridades policiales efectúen las investigaciones pertinentes que permitan la detención de los delincuentes que realizan estos actos. No obstante, os recordamos que es un correo electrónico falso: no procede realmente de Notificados ni ninguna cuenta de correo de Notificados ha sido hackeada o existe brecha de seguridad de ningún tipo, aunque en el remite se muestre una dirección de correo electrónico que aparente ser de Notificados. De hecho, con las restricciones tecnológicas implementadas en Notificados (SPF, DKIM y DMARC) lo normal es que cualquier servidor de destino rechace este tipo de correos electrónicos falsos: si recibes alguno en tu bandeja de entrada, contacta con tu proveedor de servicio de correo electrónico para indicarles que deben implementar correctamente dichas tecnologías para no ser víctima de campañas de este tipo (recuerda que hay otras campañas activas y habrá nuevas campañas de spoofing y phishing que utilicen nombres de dominios de organismos públicos y privados de forma fraudulenta).

Actualización 27.01.2021

La campaña de spoofing y phishing hacia Notificados y otros organismos públicos y privados sigue activa, seguimos confiando en que las autoridades policiales efectúen las investigaciones pertinentes que permitan la detención de los delincuentes que realizan estos actos. No obstante, os recordamos que es un correo electrónico falso: no procede realmente de Notificados ni ninguna cuenta de correo de Notificados ha sido hackeada o existe brecha de seguridad de ningún tipo, aunque en el remite se muestre una dirección de correo electrónico que aparente ser de Notificados. Tal y como hemos indicado en este artículo, con las restricciones tecnológicas implementadas lo normal es que los servidores de correo bien configurados rechacen este tipo de correos electrónicos falsos. Recuerda los sencillos trucos mencionados en el artículo para detectar si el correo recibo es verdadero o falso: si recibes cualquier correo electrónico en el que te pide que descargues un archivo .zip o que anexe un archivo .zip es falso, si te pide que descargues la notificación sin introducir ningún dato acreditativo es falso, si te pide que accedas a un enlace o URL y la dirección real del enlace o URL no es notificados.com o enotif.es es falso. Puedes eliminar directamente cualquier correo falso que recibas.