El peligro de los correos de autorrespuesta

7 Mar 2019

Antes de las vacaciones o de un viaje de empresa, muchos empleados configuran un mensaje de autorrespuesta en el correo electrónico para que los clientes y compañeros sepan con quién contactar durante su ausencia. Normalmente, esos mensajes incluyen la duración del viaje, información de contacto del personal que le sustituye y, a veces, información sobre los proyectos actuales.

Estos mensajes, aunque resulten inofensivos, pueden ser un riesgo para las empresas. Si un empleado no restringe la lista de destinatarios, la respuesta automática irá a cualquier persona cuyo correo electrónico termine en la carpeta de bandeja de entrada y este podría ser un ciberdelincuente o un spammer que haya conseguido sortear los filtros. Y lo peor es que la información de este mensaje podría bastar para desencadenar un ataque dirigido.

El peligro

En el caso de los spammers, los mensajes de autorrespuesta les permiten conocer que la dirección es válida y que pertenece a una persona en específico. Además, les dice nombre y apellidos de la persona y su cargo, a veces hasta se incluye el número de teléfono en la firma.

Los spammers envían mensajes a direcciones desde una gran base de datos que, con el paso del tiempo, queda desactualizada, por lo que pierde eficiencia. Pero cuando detectan a una persona real, las marcan como un objetivo viable y comienzan a enviar correos mucho más a menudo o, incluso, a realizar llamadas telefónicas. Pero esto no es lo peor.

Si el mensaje de respuesta automática se envía en respuesta a un correo phishing, la información que proporciona sobre el personal que lo sustituye, con sus nombres, cargos, horarios y números de teléfono se pueden utilizar para organizar un ataque spear phishing eficaz. Pero este problema no solo afecta a las grandes empresas, los mensajes de autorrespuesta son un blanco fácil, ya que ofrecen un tesoro de datos para todos los propósitos de ingeniería social.

¿Qué pueden hacer los cibercriminales?

Imagínate que Pedro se va de vacaciones y deja un mensaje de autorrespuesta muy detallado. Por ejemplo: “No estaré disponible hasta el 27 de marzo. Para cuestiones relacionadas con el proyecto Camomile, póngase en contacto con Tati (correo electrónico y número de teléfono). Andrés (correo electrónico y número de teléfono) quedará al pendiente de la remodelación del diseño de Medusa”.

Después, Andrés recibe un mensaje que parece ser del director de Medusa y que hace referencia a una conversación previa con Pedro, el ciberdelincuente pide a Andrés que vea un posible diseño de interfaz de usuario. En ese caso, es muy probable que Andrés abra el archivo adjunto o acceda a un enlace, poniendo su computadora en riesgo de infección.

Además, los delincuentes cibernéticos pueden extraer información confidencial a través de un intercambio de correo electrónico al referirse al empleado ausente y su supuesto historial de trabajo juntos. Cuanto más sepan sobre la compañía, más probable es que el trabajador sustituto envíe documentos internos o suelte secretos comerciales.

Qué hacer

Para evitar problemas, basta con una política eficiente de mensajes de autorrespuesta.

  • Determina qué empleados realmente necesitan esta opción. Si un empleado solo trabaja con un par de clientes, puede notificarles su ausencia mediante un único correo electrónico o por teléfono.
  • Para los empleados cuyas tareas estén cubiertas por una única persona, tiene sentido utilizar la redirección. Aunque, evidentemente, no siempre es conveniente, pero garantiza que no se pierdan mensajes importantes.
  • Recomienda a los empleados crear dos opciones de autorrespuesta, una para personal interno, con información más detallada, y otra para direcciones externas, con el mínimo.
  • Si un empleado solo se escribe con compañeros, desactiva los mensajes de respuesta automática para direcciones externas.
  • En cualquier caso, aconseja al personal que no incluyan información superflua en los mensajes. Los nombres de líneas de producto o clientes, números de teléfono de compañeros, información sobre dónde se ha ido de vacaciones y demás no son necesarias.
  • Y, por último, utiliza una solución de seguridad que detecte automáticamente los intentos de spam y phishing y analice los archivos adjuntos en busca de malware al mismo tiempo.