Phishing con inteligencia artificial: por qué es más importante que nunca autenticar correctamente el correo electrónico

Actualizado: Información para el lector
LinkedIn
Resume:ChatGPTPerplejidad

Hace un par de meses, recibí un correo electrónico que decía incluir una tarjeta regalo. Mi primer instinto fue tratarlo como un intento de phishing. Comprobé el dominio del remitente, pasé el ratón por encima de los enlaces y revisé las cabeceras antes de atreverme a hacer clic en el enlace.

Era legítimo: un amigo me había enviado un regalo de cumpleaños. Pero he leído lo suficiente sobre estafas por correo electrónico como para desconfiar inmediatamente de cualquier cosa que parezca ligeramente sospechosa.

Sin embargo, la mayoría de la gente no lo hace. Abren todos sus correos electrónicos y hacen clic en los enlaces sin pensárselo dos veces, lo que les expone a convertirse en víctimas de la ciberdelincuencia.

El problema no sólo afecta a las personas que reciben estos correos electrónicos, sino que también atacan a los sitios web. Sin una autenticación adecuada del correo electrónico, los atacantes pueden enviar mensajes que parezcan proceder de su dominio. Su reputación como remitente puede verse dañada, aunque usted no tenga nada que ver con el ataque.

Arregle sus correos electrónicos de WordPress ahora

¿Por qué son tan peligrosos los correos electrónicos de phishing generados por inteligencia artificial?

Llevo tiempo investigando la seguridad del correo electrónico, y los mensajes de phishing y las estafas han existido casi tanto tiempo como los correos electrónicos. Pero desde que despegaron las herramientas de chat con IA, las cosas se han vuelto locas. Algunos informes estiman que desde el lanzamiento de chatGPT, los correos electrónicos maliciosos han aumentado en más de un 1.000%.

Aumento de los correos electrónicos de phishing

Los antiguos mensajes, como la mala gramática, los saludos genéricos y la urgencia evidente, están desapareciendo. Ahora la IA puede escribir correos electrónicos que suenen humanos y hagan referencia a un contexto real.

Los modelos lingüísticos ahora pueden analizar tu estilo de escritura a partir de entradas de blog, redes sociales o cualquier contenido disponible públicamente y replicarlo de forma convincente. Personalizan los mensajes utilizando datos extraídos de filtraciones y plataformas sociales, haciendo referencia a proyectos específicos, colegas o acontecimientos recientes de forma que parezcan auténticos.

La misma IA puede generar miles de variaciones únicas de la misma estafa, cada una lo bastante diferente como para eludir los filtros de spam que se basan en la coincidencia de patrones. Y también han eliminado las barreras lingüísticas y los errores gramaticales que antes ponían al descubierto a los estafadores no nativos.

Los informes actuales afirman que hasta el 67% de las campañas de phishing utilizan alguna forma de IA y que al menos 1 de cada 5 personas hace clic en correos electrónicos de phishing creados con IA.

Cómo explotan los atacantes los dominios WordPress desprotegidos

Cuando su sitio WordPress envía correos electrónicos utilizando la función predeterminada PHP mail(), carece de la autenticación adecuada. Esto crea una oportunidad para que los ciberdelincuentes envíen correos electrónicos que parecen proceder de su dominio, aunque no lo sean.

Los atacantes utilizan herramientas automatizadas para comprobar los registros DNS e identificar los dominios que carecen de configuración SPF, DKIM o DMARC. 

Cómo funciona la autenticación por correo electrónico

Con un dominio desprotegido identificado, los atacantes configuran sus propios servidores de correo para enviar correos electrónicos utilizando su dominio en el campo "De". Para los servidores receptores sin comprobaciones de autenticación, estos correos electrónicos parecen legítimos. Sin autenticación, no hay forma de demostrar lo contrario.

Sin la autenticación adecuada, los atacantes pueden enviar correos electrónicos que parezcan proceder de "[email protected]" o "[email protected]" a sus clientes.

Incluso si no has tenido nada que ver con el ataque, la reputación de tu dominio se resiente. Los proveedores de correo electrónico rastrean las quejas y la actividad sospechosa asociada a los dominios. Si un número suficiente de correos falsos se denuncian como spam o phishing, los correos legítimos de tu empresa real empiezan a bloquearse o filtrarse.

Explicación de la autenticación de correo electrónico

La autenticación del correo electrónico demuestra que los correos electrónicos que afirman proceder de su dominio son realmente legítimos. Los tres protocolos principales trabajan juntos para crear un sistema de verificación completo:

SPF (Marco de directivas del remitente)

SPF crea una lista de servidores de correo autorizados a enviar correos electrónicos para su dominio. Cuando llega un correo electrónico que dice proceder de su dominio, el servidor receptor comprueba esta lista para asegurarse de que el mensaje procede de una fuente autorizada.

DKIM (Correo Identificado por Clave de Dominio)

DKIM añade una firma digital a sus correos electrónicos, como un sello de lacre en un documento importante. Esta firma demuestra que el correo electrónico no ha sido manipulado durante el envío y confirma que realmente procede de su dominio.

DMARC (autenticación, notificación y conformidad de mensajes basados en dominios)

DMARC es la política que indica a los servidores receptores qué hacer cuando un correo electrónico no supera las comprobaciones SPF o DKIM. También proporciona informes sobre los intentos de autenticación, lo que le ayuda a detectar actividades sospechosas.

Juntos, estos protocolos crean un sistema de verificación que dificulta enormemente la suplantación de dominios, exactamente lo que necesita para protegerse contra los ataques de phishing basados en IA.

Cómo WP Mail SMTP protege su dominio y su reputación

En lugar de utilizar la poco fiable función mail() de PHP, WP Mail SMTP enruta sus correos electrónicos a través de servidores SMTP autenticados que implementan correctamente SPF, DKIM y DMARC.

El complemento también incluye una función integrada para probar la configuración de autenticación del correo electrónico. Al enviar un correo electrónico de prueba, el complemento comprueba si los registros SPF, DKIM y DMARC están configurados correctamente.

resultados de la comprobación de dominios

Esta información instantánea le ayuda a identificar y solucionar los problemas de autenticación antes de que se conviertan en vulnerabilidades de seguridad.

WP Mail SMTP se integra con servicios profesionales de correo electrónico como SendLayer, SMTP.com, y Brevo que manejan la autenticación automáticamente. Estos proveedores:

  • Configurar registros SPF, DKIM y DMARC para usted
  • Proporcionar informes de entrega detallados
  • Mantener una excelente reputación de los remitentes

Funciones de seguridad avanzadas (Pro)

WP Mail SMTP Pro ofrece características de seguridad adicionales que se vuelven cruciales en la era del phishing AI:

Registros de correo electrónico: Rastrea cada correo electrónico enviado desde tu sitio para identificar rápidamente cualquier actividad sospechosa o intento de envío no autorizado.

Alertas de fallo: Recibe notificaciones instantáneas cuando los correos electrónicos no se envíen, lo que podría indicar problemas de autenticación o posibles ataques.

Conexiones de respaldo: Asegúrese de que sus correos electrónicos legítimos siempre se entregan, incluso si su servicio de correo electrónico principal experimenta problemas.

5 pasos para proteger su correo electrónico en WordPress

Proteger su sitio WordPress de los ataques de phishing con IA no requiere conocimientos técnicos. Siga estos pasos para implementar una autenticación de correo electrónico adecuada:

Paso 1: Instalar WP Mail SMTP

Si aún no lo has hecho, descarga e instala el plugin WP Mail SMTP. La versión gratuita proporciona funciones básicas de autenticación que mejoran significativamente la seguridad de su correo electrónico. El plugin reemplaza la poco fiable función PHP mail() por defecto de WordPress con la entrega SMTP autenticada.

Paso 2: Elegir una empresa de correo profesional

Seleccione un proveedor SMTP que gestione la autenticación automáticamente. SendLayer es excelente para sitios de gran volumen, con autenticación integrada y gran capacidad de entrega. SMTP.com ofrece un servicio fiable con amplias funciones de seguridad e informes detallados. Brevo es una opción fácil de usar con una gran capacidad de entrega, por lo que es ideal para las empresas que se inician en la autenticación del correo electrónico. Para sitios pequeños, Gmail o Google Workspace funcionan bien con una configuración de un solo clic, aunque esto requiere la versión Pro de WP Mail SMTP.

Paso 3: Configure sus ajustes

Siga el asistente de configuración en WP Mail SMTP para conectar su proveedor de correo electrónico elegido. El plugin te guiará para que introduzcas las credenciales y los ajustes necesarios.

Paso 4: Pruebe su autenticación

Utilice la función de prueba de correo electrónico incorporada en WP Mail SMTP para verificar que su autenticación funciona correctamente. La prueba le mostrará el estado de sus registros SPF, DKIM y DMARC. Si algo no está configurado correctamente, el plugin te avisará para que puedas solucionarlo.

Paso 5: Supervisar y mantener

Comprueba regularmente tus registros de correo electrónico (disponibles en WP Mail SMTP Pro) y controla la reputación de tu dominio utilizando herramientas como Google Postmaster Tools. Configura alertas de fallo de correo electrónico para detectar posibles problemas rápidamente. La autenticación no es una solución que se pueda configurar y olvidar, pero la supervisión continua te ayuda a detectar problemas antes de que se agraven.

Arregle sus correos electrónicos de WordPress ahora

FAQ: AI Phishing y autenticación de correo electrónico

Estas son algunas de las preguntas más frecuentes que recibimos sobre autenticación y seguridad del correo electrónico:

¿Cómo puedo saber si mis correos electrónicos de WordPress están correctamente autenticados?

Utilice la función de prueba de correo electrónico de WP Mail SMTP para comprobar su estado de autenticación. También puede utilizar herramientas gratuitas como Mail Tester para analizar sus correos electrónicos y obtener un informe detallado sobre su configuración de SPF, DKIM y DMARC.

¿Detendrá la autenticación del correo electrónico todos los ataques de phishing?

La autenticación de correo electrónico evita que los atacantes suplanten su dominio, pero no detendrá todos los intentos de phishing. Sin embargo, es una primera línea de defensa crucial que protege la reputación de su marca y hace que sea mucho más difícil para los estafadores hacerse pasar por su empresa.

¿Cómo puedo saber si alguien está suplantando mi dominio?

Los informes DMARC (disponibles a través de la mayoría de proveedores de correo electrónico profesionales) le mostrarán los intentos de ataques de suplantación de identidad. También es posible que los clientes pregunten por correos electrónicos que han recibido y que usted no ha enviado.

¿WP Mail SMTP protege contra todo tipo de ataques basados en IA?

WP Mail SMTP se centra en la entrega y autenticación del correo electrónico. Aunque una autenticación adecuada reduce significativamente tu vulnerabilidad a los ataques de suplantación de dominio, también debes implementar las mejores prácticas generales de seguridad de WordPress para protegerte contra otros tipos de amenazas impulsadas por IA.

¿Debería actualizar a WP Mail SMTP Pro para mejorar la seguridad?

WP Mail SMTP Pro ofrece valiosas características de seguridad como registros detallados de correo electrónico, alertas de fallos y conexiones de copia de seguridad. Estas características son particularmente útiles para monitorear actividades sospechosas y asegurar que sus correos legítimos siempre sean entregados. Para los sitios críticos de negocio, la visibilidad y fiabilidad adicionales merecen la inversión.

Siguiente: Configurar Google Postmaster Tools

Una vez que hayas implementado una autenticación de correo electrónico adecuada, considera la posibilidad de configurar Google Postmaster Tools para supervisar la reputación y la capacidad de entrega de tu dominio. Esta herramienta gratuita de Google te ayuda a realizar un seguimiento del rendimiento de tu correo electrónico y a detectar posibles problemas antes de que afecten a tu negocio.

Lee nuestra guía sobre cómo configurar Google Postmaster Tools para controlar la reputación de tu remitente y asegurarte de que tus mensajes de correo electrónico importantes para WordPress no se bloqueen.

¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP para WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de White Glove Setup como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.

Si este artículo te ha ayudado, síguenos en Facebook y Twitter para más consejos y tutoriales sobre WordPress.

Divulgación: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPForms, por qué es importante y cómo puede apoyarnos.

Rachel Adnyana

Rachel lleva una década escribiendo sobre WordPress y mucho más tiempo creando sitios web. Además del desarrollo web, le fascinan el arte y la ciencia del SEO y el marketing digital.Más información

Pruebe nuestro plugin gratuito WP Mail SMTP

Utilice su proveedor SMTP favorito para enviar sus correos electrónicos de WordPress de forma fiable.