Cualquier usuario de correo electrónico ha sentido alguna vez que su bandeja de entrada se convierte en terreno de batalla. La avalancha de mensajes promocionales y ofertas dudosas parece imparable: desde descuentos imposibles en vuelos hasta consejos sospechosos de inversión en criptomonedas. En casi todos esos correos aparece la misma promesa al pie: “haz clic aquí para darte de baja”.
Parece una solución obvia, sencilla y segura para dejar de recibir esos emails que nadie ha solicitado. Pero la realidad es más compleja. Lejos de resolver el problema, hacer clic en ese enlace puede exponer a los usuarios a nuevos riesgos.
Un clic, muchas amenazas
En diálogo con el periódico The Wall Street Journal, el experto TK Keanini, director de tecnología en DNSFilter, lo resumió así: “La confianza es relativa. Confío en mi cliente de correo, pero no en lo que está dentro del mensaje”. La lógica detrás de la advertencia es clara: cuando el usuario sale del entorno protegido del cliente de email y sigue un enlace contenido en el mensaje, queda expuesto a todo tipo de peligros presentes en la web. Las consecuencias de ese simple clic pueden ir mucho más allá de una bandeja de entrada más limpia.
El peligro más común al interactuar con correos no deseados está en la verificación de direcciones activas. Michael Bargury, director de tecnología y cofundador de Zenity, sostiene que estos clics les sirven a los atacantes para confirmar que la dirección de correo pertenece a una persona real y activa. Una vez verificada esa información, el usuario puede convertirse en objetivo prioritario dentro de nuevas campañas de spam o estafas personalizadas que recurren a técnicas de ingeniería social para obtener datos valiosos o dinero.
Charles Henderson, vicepresidente ejecutivo de servicios de ciberseguridad en la firma Coalfire, amplía la advertencia: los atacantes recopilan información con cada interacción, construyendo un perfil del usuario. “Una vez que saben que la cuenta está activa, pueden empezar a investigar con la esperanza de extorsionar a la víctima en el futuro, a través de ingeniería social u otros métodos”.
Otra amenaza frecuente se presenta cuando el enlace redirige a una página que imita a la perfección el aspecto de una empresa legítima. En ese falso sitio, los ciberdelincuentes pueden intentar obtener credenciales de acceso o instalar software malicioso en el dispositivo del usuario.
“Si el sitio al que te redirigen te pide tu contraseña para darte de baja, es una alerta inequívoca”, advierte Bargury. Ante estos casos, recomienda no completarla y, en vez de seguir el enlace, abrir una ventana aparte del navegador y gestionar las preferencias de comunicación directamente desde el sitio oficial de la compañía.