Dos de cada tres emails que recibimos contienen un píxel de seguimiento, también conocidos como ‘píxeles espía’. Pese a su nombre, este pequeño código que se inserta en los correos electrónicos sirve para que el remitente monitorice qué hacemos exactamente con ese email. Es decir, quien lo envía puede obtener datos estadísticos y también específicos sobre la hora en que se ha abierto el correo, las veces que se ha leído, si se ha reenviado a otras personas, y un largo etcétera.
En la mayoría de los casos esos datos se recopilan a modo de big data para que las campañas de marketing sean más precisas, ya que generan una información de altísimo valor sobre las audiencias. Sin embargo, toda esta tecnología es igualmente valiosa para los hackers.
Como decíamos, estos píxeles generan una inmensidad de datos estadísticos que muestran patrones de conducta y cohortes demográficas. Pero también son capaces de adelantar tendencias o interpretar qué tipo de emails masivos tienen mayor o menor tasa de apertura, e incluso cuáles son los cuerpos de texto que hacen que las víctimas caigan en más ciberataques.
Reiteramos que dos tercios de los emails son completamente lícitos, según detallan desde el software para enviar correos electrónicos Hey. Sin embargo, una no desdeñable porción de esos mensajes en la bandeja de entrada son enviados por spammers.
El primer paso del spear phishing
Es más, los píxeles de seguimiento son incluso más efectivos que la memoria caché de los navegadores, que es la que queda almacenada en nuestro dispositivo para luego recordar el historial y para que las páginas carguen más rápido cuando se visitan a menudo. Esto se debe a que los píxeles pueden, además, analizar el acceso de páginas específicas. De este modo, los hackers pueden saber si hemos accedido a una página de phishing o una página con malware autodescargable.
Por lo general, el píxel de seguimiento o pixel espía no es más que la punta del iceberg de las estrategias de spear phishing en las que los ciberdelincuentes hacen un minucioso trabajo de investigación a personas u organizaciones específicas. Por medio del análisis de Big Data, van filtrando quiénes son más susceptibles de caer en sus estafas y, por un lado, pueden mejorar sus técnicas y, por otro, van dando más pasos en averiguar más información sobre sus víctimas o incluso inyectándoles códigos maliciosos.
Además, las bandas organizadas de cibercriminales suelen mezclar los píxeles espía con otras tecnologías, como el JavaScript, con el que pueden obtener todavía más información de sus víctimas. Con la correcta conjugación del pixel con este lenguaje de programación los hackers puden saber la resolución de nuestra pantalla, los plugins que utilizamos en el navegador y, en general, todas las tecnologías que usamos al acceder a Internet.
Los píxeles espía atentan contra la seguridad de nuestra identidad digital
“Se trata de una información muy valiosa para los hackers. Cuanto más saben de sus víctimas, más hilos tienen de los que tirar para averiguar lo que quieren sobre sus víctimas. Por poner un ejemplo, el hecho de que sepan la resolución de nuestra pantalla les indica si estamos en casa, en la oficina o de vacaciones. Al conocer los plugins que tenemos instalados en el navegador, les puede desvelar cuándo operamos con la banca online, o pueden intuir cuál es nuestro rol dentro de la organización en la que trabajamos”, apunta Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Por lo general, los gestores de correo más utilizados ya bloquean la descarga automática de imágenes si detectan que hay píxeles catalogados como sospechosos. Por tanto, muchos de estos emails no “ejecutan” el pixel en nuestro ordenador a no ser que decidamos, proactivamente, ver las imágenes del email.
Pese a ello, es importante establecer los ajustes del navegador y del correo electrónico para que sean más restrictivos. Por ejemplo, bloquear gráficos externos o emails con maquetación HTML.
“Somos conscientes de que estas medidas, aunque efectivas, no son la forma más adecuada de protegernos contra los ataques de spear phishing. Por ello, la suite de seguridad de Panda Dome, detecta y neutraliza los intentos de ataque que recibimos de forma global, no solo por email. Es importante comprender que lo que está en riesgo en Internet no es nuestro ordenador o nuestro móvil, sino toda nuestra identidad digital”, apostilla Hervé Lambert.