Piénsalo antes de hacer clic: por qué es peligroso usar esta opción común en los correos que recibes

Ya sabemos que Internet es un campo minado para la privacidad y la ciberseguridad de los usuarios, pero nunca está de más recordarlo. Especialmente cuando los expertos en ciberseguridad informan de nuevas formas que tienen los ciberdelincuentes para engañar a sus víctimas. TK Keanini, responsable de tecnología en la empresa de ciberseguridad DNSFilter, ha advertido recientemente en The Wall Street Journal de una nueva forma de engaño tras una acción muy común cuando se gestiona la bandeja de entrada del correo electrónico: cancelar una suscripción.

Aquí hay que distinguir entre el botón de ‘Darse de baja’ integrado en clientes de correo como Gmail, Yahoo o iCloud y la opción del mismo nombre (‘Cancelar suscripción’, ‘Si quieres darte de baja, pulsa aquí’ o similar) que aparece en forma de enlace dentro del cuerpo del correo.

En el primer caso, en el que no abandonas en ningún momento el entorno de la aplicación, es seguro. Pulsar o hacer clic en el segundo, en cambio, te saca de la aplicación y te lleva a la web abierta, que es donde pueden empezar los problemas y los ciberdelincuentes hacer de las suyas. Por ese motivo, Keanini señala al medio que ‘la confianza es relativa. Confío en mi cliente de correo, pero no en lo que hay dentro del correo’.

El botón de ‘Darse de baja’ que Gmail y otros integran en determinados correos (boletines, promociones de compras, notificaciones de servicios de streaming, etc.) y que está accesible desde la bandeja de entrada, sin ni siquiera necesidad de tener que abrir el mail para usarlo, es una opción conocida como ‘encabezados de cancelación de suscripción a listas’ (list-unsubscribe headers). Estos enlaces, gestionados por los proveedores de correo, se añaden en el asunto o encabezado del mensaje y permiten darse de baja con un solo clic. Suele ser una opción más segura porque mantiene toda la interacción dentro del cliente de correo y no en la web abierta.

Desvelas que tu cuenta está activa, información valiosa para los ciberdelincuentes

El primer problema, y de este no escapa tampoco la opción integrada en la plataforma de correo electrónico, es que darse de baja de una suscripción permite a la otra parte saber que esa cuenta de correo sigue activa. Esta información es de interés para un ciberestafador, así como el hecho de que el usuario está dispuesto a interactuar con ciertas formas de spam. Esto implica que ese correo puede ser un objetivo viable para ataques de phishing o de otro tipo.

Quieres cancelar una suscripción y terminas siendo víctima de phishing

Pero el mayor riesgo está en cuando se abandona el entorno seguro de una plataforma como Gmail y uno se adentra en la web para darse de baja de una suscripción, siguiendo el enlace proporcionado en el correo electrónico.

Un escenario posible es que el enlace redirija a una página de phishing o suplantación de identidad. Puede tener apariencia legítima, pero está diseñada para robar tus credenciales. Si te piden un usuario y contraseña para confirmar la cancelación, es, con toda probabilidad, un engaño. Puede ser que te pidan solo el correo, lo que se justifica en proporcionar al sistema la dirección que debe dar de baja, pero ninguna empresa confiable te pedirá jamás una contraseña para realizar esta acción. Según DNSFilter, 1 de cada 644 enlaces para cancelar una suscripción conducen a sitios maliciosos.

Qué puedes hacer para protegerte al cancelar una suscripción

• Utiliza la función integrada de ‘Darse de baja’ de tu cliente de correo electrónico, no el enlace que envía el remitente del mail.
• Marca el correo como spam, de forma que los siguientes irán a parar automáticamente a dicha carpeta y no tendrás que volver a cruzarte con ellos. Si andas justo de espacio, no te preocupes por el que ocupen dado que son eliminados automáticamente a los 30 días.
• Utiliza direcciones de correo electrónico desechables. Apple ofrece la función ‘Ocultar mi correo’ que, al registrarse en un servicio, genera una dirección aleatoria que reenvía los correos a la cuenta principal. Google tiene una opción similar para suscriptores de Google One, pero que aún no tiene una disponibilidad amplia. Entretanto, puedes usar un servicio como Firefox Relay, de Mozilla, para crear direcciones de correo electrónico anónimas que redirigen los mensajes a tu dirección de correo electrónico real.