El título de éste artículo no es ninguna broma, ni tampoco un juego de palabras. Spam, SPIM y SPIT son todos fraudes online cuya única diferencia es el medio por el que nos llega.
El spam es de todos conocido, son correos electrónicos no deseados enviados en masa. Normalmente contienen publicidad, aunque muchos de ellos pueden incluir estafas bancarias online o algún malware que intentará, si se lo permitimos, infectar nuestro dispositivo para poder acceder a toda la información que tenemos en él. Lo que busca un spammer son nuevas direcciones de email, o bien para enviarles correos o venderlas en el mercado negro, e infectar nuevos ordenadores que vayan enviando spam a sus contactos sin que ellos lo sepan.
Hace un par de meses la EUROPOL hacía público que después de más de 4 años de investigaciones y trabajo conjunto con cuerpos de seguridad y empresas de ciberseguridad de 30 países diferentes, en una operación internacional contra el cibercrimen, habían conseguido desmantelar la red “Avalancha” (1). La citada red llevaba 7 años enviando más de un millón de emails maliciosos semanalmente a gente de todo el mundo, hasta el punto que identificaron a víctimas de su malware en más de 180 países. Sólo en Alemania se estima en 6 millones de euros las pérdidas sufridas en ciberataques a los sistemas bancarios online de los usuarios cuyo ordenador fue infectado.
Según el informe anual de ciberseguridad de CISCO, el spam representa el 65% del volumen total de emails en el mundo, y de este el 10% es malicioso puesto que puede contener phishing, malware,… Comentan también que hay un repunte en este tipo de ciberataque. La explicación es fácil, el correo electrónico tanto en las empresas como a nivel particular ha sustituido prácticamente al correo tradicional, con el consecuente ahorro económico y de disponibilidad de información, documentación, etc. Por tanto, el hecho de ser una herramienta tan usada hace que esté constantemente en el punto de mira de los ciberdelincuentes, tanto como medio de introducción de malware en las empresas o ordenadores personales, como de otro tipo de ataques. Esto sumado al hecho que los usuarios acostumbran a leer todos los correos que reciben y a abrir los ficheros adjuntos, provocan que el spam sea un ciberataque al alza.
¿Que debemos hacer para prevenir ser víctimas de spam malicioso?
1.- Instalar aplicaciones antimalware y activar filtros antispam. Las empresas ya acostumbran a tener los ordenadores “protegidos”, así como la mayoría de servicios de correo electrónico (Gmail, Hotmail, Yahoo,..), pero si quieres proteger tu ordenador particular puedes instalarte el antimalware gratuito que pone a nuestra disposición la Oficina de Seguridad del Internauta (OSI) en su web: Malware Bytes Anti-Malware.
2.- Desconfiar de los correos de desconocidos, y más si tienen un fichero adjunto. Nunca clicar en los enlaces, ni abrir ficheros adjuntos que pueda contener.
3.- Nunca responder al correo basura, ni clicando al posible “unsubscribe” que pueda contener el mensaje, puesto que estamos confirmando al spammer que el email es una cuenta activa y alguien lo está leyendo.
Una vez visto en que consiste el spam, y los riesgos que el conlleva, pasemos a hablar del SPIM (SPam over Instant Messaging). Como sus siglas en ingles nos indican, se trata de spam que es enviado a través de sistemas de mensajería instantánea, SMS o mensajes privados dentro de los sitios web como ICQ o Messenger (no via email como el spam visto anteriormente). Son más molestos que el spam puesto que le aparecen al usuario de manera automática mientras está usando el sistema de mensajería instantánea, y en algunos casos puede confundirnos al creer que nos lo ha enviado la misma persona con la que estamos conversando online.
Este fraude online ocurre cuando nuestro dispositivo ha sido infectado con algún troyano o virus, o bien cuando añadimos recientemente algún desconocido como nuevo contacto. Una vez infectado obtienen nuestras direcciones de contactos del sistema de mensajería y mediante ventanas emergentes, o como texto añadido en mitad de la conversación, insertan enlaces que suelen llevar a una página web o fichero adjunto que al clicar nos descarga un malware con el que puede obtener acceso a nuestro dispositivo o nuestra cuenta de mensajería.
Por último os presento al llamado SPIT (SPam over Internet Telephony) o spam de VoIP:, también hablaríamos de spam pero esta vez a través de llamadas telefónicas no solicitadas, normalmente llamadas automáticamente marcadas y pregrabadas usando el Protocolo de Voz sobre Protocolo de Internet. Una de las soluciones para evitar el SPIT nos la ofrece la identificación de llamadas, aunque parece que ésta también puede ser falseada.
De momento este tipo de spam no representa un gran problema puesto que la telefonía via internet no está muy extendida, pero los expertos aseguran que en unos años será muy atractivo para los spammers, al igual que ocurrió con el spam via correo electrónico. Para más información podéis consultar la página https://searchunifiedcommunications.techtarget.com/definition/SPIT
Referencias:
(1) https://www.europol.europa.eu/newsroom/news/%E2%80%98avalanche%E2%80%99-network-dismantled-in-international-cyber-operation