Aquí—en el ítem número 5 de la lista—es una recomendación de no responder a correos electrónicos anónimos por la posibilidad de estar infectado. Sé que alguna vez eso fue posible.debido a JavaScript. Pero ahora, ¿sigue siendo un problema? Especialmente para servicios de correo electrónico de mayor seguridad como Gmail.
Respuesta1
El riesgo de responder a los correos electrónicos de registro de dominio proviene de los riesgos de secuestro de ingeniería social y de no estar realmente "infectado".
Aquí, en el punto número 5 de la lista, hay una recomendación de no responder a correos electrónicos anónimos por la posibilidad de estar infectado.
Mirando aartículo número 5 en la página a la que está enlazandomuestra que nada de eso tiene nada que ver con infecciones básicas de correo electrónico del usuario final:
5. No responda (ni haga clic en ningún enlace) en ninguna correspondencia por correo electrónico relacionada con un dominio que no reconozca.También tenga cuidado de no responder a ningún aviso de renovación "de apariencia oficial" que reciba por correo de empresas que no reconoce. Se sabe que los secuestradores de dominios y los registradores sin escrúpulos envían cantidades masivas de transferencias con la esperanza de que un pequeño porcentaje de registrantes confundidos confirmen accidentalmente las transferencias. En caso de duda, comuníquese con su registrador original para verificar cualquier mensaje sospechoso.
Después de leer esto, queda bastante claro que el consejo trata sobre cómo evitar transferencias fraudulentas de registros de nombres de dominio y cambios relacionados en el registrador de dominios. Es decir, si recibe alguna notificación por correo electrónico de su registrador de dominio real de que "su acción es necesaria" para completar un proceso, no actúe en absoluto. De lo contrario, corre el riesgo de iniciar un proceso en el que alguien, que no es usted, podría robarle su nombre de dominio.
Dicho esto, esas instrucciones parecen bastante arcaicas. La página tiene una fecha de copyright de 2009, pero incluso entonces no era tan “mágicamente” fácil robar el registro de un dominio de esa manera.
La realidad es que los cambios en el registro de dominio hoy en día requieren algunos controles y contrapesos más, y muchas más habilidades de “ingeniería social” (también conocido como ser un completo estafador), y no pueden verse afectados simplemente activando un simple correo electrónico. Entonces, si bien este consejo es algo acertado (siempre es bueno ignorar los correos electrónicos no deseados), también es un poco paranoico.
Respecto a la pregunta central sobre si responder correos electrónicos, en general, supone un riesgo de infección.
Sé que alguna vez eso fue posible gracias a JavaScript. Pero ahora, ¿sigue siendo un problema? Especialmente para servicios de correo electrónico de mayor seguridad como Gmail.
Las posibilidades de que usted se infecte respondiendo a un correo electrónico son bastante bajas o nulas, ya querespondiendotienenuncasido un vector. El único riesgo de infección de correo electrónico que alguna vez existió provino demirandoen—oapertura—un correo electrónico ya que si el correo electrónico tenía contenido HTML, noeraun riesgo de que HTMLpodríacontienen JavaScript malicioso incrustado.
Esto alguna vez fue un riesgo en algunos navegadores/programas de correo electrónico que no filtraban/desactivaban correctamente JavaScript de los correos electrónicos, como (redoble de tambores) Microsoft Outlook, que trataba el correo electrónico HTML como si fueran solo páginas web HTML. El simple hecho de tratar un correo electrónico HTML como si fuera una página web HTML abrió una puerta bastante amplia a las infecciones con solo mirar un correo electrónico.
Así que tienes toda la razón al pensar que hoy en día existen más protecciones. Y la principal “protección” existente en el sentido de que cualquierverdaderamente competenteEl navegador/programa de correo electrónico moderno es simplementenoejecutar JavaScript al mostrar contenido de correo electrónico HTML. Como se explica en esta página en"Lo que se debe y no se debe hacer en el correo electrónico HTML":
No utilices Javascript. Será ignorado o incluso tratado como un riesgo para la seguridad. Una vez que alguien recibe un aviso de seguridad sobre uno de sus correos electrónicos, es poco probable que abra otro.
El único riesgo que se me ocurre es si de alguna manera estuviera utilizando un cliente de correo electrónico obsoleto basado en navegador que no filtrara activamente JavaScript en los correos electrónicos HTML. En ese caso, el programa de correo electrónico basado en navegador simplemente mostraría el correo electrónico HTML dentro de un navegador web. Lo cual, por supuesto, simplemente mostraría el contenido HTML del correo electrónico como si fuera una página HTML pura del navegador web... JavaScript y todo. Pero como dije, eso esestrictamenteUn riesgo límite hoy en día, pero que debes tener en cuenta si de alguna manera te encuentras (y necesitas utilizar) un programa de correo electrónico basado en navegador.
Respuesta2
La razón por la que a menudo se recomienda eliminar los correos electrónicos no deseados sin abrirlos es para limitar la retroalimentación proporcionada a los spammers.
Idealmente, queremos que sea imposible para los spammers distinguir entre un correo electrónico que fue capturado por un filtro de spam y un correo electrónico que pasó el filtro de spam pero que el usuario reconoció como spam.
Si los spammers pueden notar la diferencia entre los dos escenarios, pueden automatizar ajustes en sus correos spam destinados a superar los filtros de spam.
Responder a un correo electrónico, hacer clic en un enlace de un correo electrónico o cargar archivos externos para mostrarlo todo proporciona retroalimentación a los spammers, algo que queremos evitar.
En algunos contextos, el consejo se da sin explicar el motivo y, a veces, con la razón implícita de que no seguir el consejo hará que su computadora se infecte con un virus. Aunque han existido vulnerabilidades que harían posibles tales infecciones, esa nunca fue la razón principal del consejo.
Como se señala en elrespuesta de @Giacomo1968, la página a la que enlaza proporciona otra razón más para no responder ni hacer clic en ningún enlace. Ese motivo está dirigido a flujos de trabajo específicos relacionados con la gestión de dominios. Sin embargo, puede aplicarse a otros flujos de trabajo y, en general, cualquier correo no deseado puede ser parte de un ataque de ingeniería social. A veces, esos ataques de ingeniería social pueden ser tan complicados que incluso los usuarios más conscientes de la seguridad pueden encontrar el correo electrónico sospechoso, pero ser completamente incapaces de explicar cómo podría ser útil como parte de un ataque de ingeniería social.
Ya sea que los tres motivos o solo uno de los tres se aplique a un correo electrónico específico, el consejo sigue siendo el mismo. Y algunos usuarios se sienten bastante satisfechos con sólo recordar los consejos y no el razonamiento detrás de ellos.