How can attackers create such perfect copies of legitimate emails?

Attackers obtain legitimate emails through several methods: compromising email accounts to access sent messages, intercepting emails through network vulnerabilities, or using publicly available information from data breaches. Once they have a genuine email, they use simple copy-paste techniques to recreate it exactly, only modifying the embedded links or attachments. Modern email design tools make it trivial to replicate professional email templates with perfect accuracy.

Why don't spam filters catch clone phishing emails?

Clone phishing emails often bypass spam filters because they contain legitimate content, proper formatting, and accurate branding from real organizations. The only malicious element is typically a modified link or attachment, which filters may not detect if the destination website is newly created and not yet blacklisted. Additionally, if the email comes from a compromised legitimate account, it passes authentication checks like SPF and DKIM that filters rely on to identify spoofed messages.

If I clicked a link but didn't enter any information, am I still at risk?

Simply clicking a link in a clone phishing email can still pose risks, though less severe than providing credentials. The malicious website may attempt drive-by downloads of malware, track your IP address and browser information, or use exploits targeting browser vulnerabilities. Immediately run anti-malware scans, clear your browser cache and cookies, and monitor your accounts for unusual activity. Change passwords as a precaution if the link led to a fake login page, even if you didn't submit information.

How quickly do I need to act if I realize I fell for a clone phishing attack?

Act within minutes if possible. Immediately change the password for any account where you entered credentials, starting with your email account since attackers often use compromised email to reset other passwords. Enable multi-factor authentication on all affected accounts. Contact your bank or credit card company if you provided financial information. For work-related incidents, notify your IT security team immediately so they can secure systems and alert other potential targets. The faster you respond, the more you can limit the damage.

Can clone phishing happen with text messages or social media, or just email?

Clone phishing primarily occurs through email because attackers need access to previous communications to create convincing duplicates, which is easier with email interception. However, similar techniques called "smishing" (SMS phishing) can clone text messages from banks or service providers, and social media messages can be duplicated if an attacker compromises an account. The core technique of copying legitimate communications and modifying links works across platforms, though email remains the most common vector due to its widespread business use and technical vulnerabilities.

High Risk Average Loss: $2,000 Typical Duration: 1-3 days

Suplantación de Identidad por Clonación: Cuando los Correos Legítimos se Vuelven Peligrosos

La suplantación de identidad por clonación es un ataque sofisticado en el que los ciberdelincuentes interceptan o recrean correos electrónicos legítimos de organizaciones confiables, para luego reenviar copias casi idénticas con enlaces o archivos adjuntos maliciosos. A diferencia de la suplantación de identidad tradicional que crea correos falsos desde cero, la clonación aprovecha la credibilidad de comunicaciones reales que ha recibido o espera recibir. Los atacantes típicamente monitorean el tráfico de correo, duplican un mensaje genuino de su banco, empleador o proveedor de servicios, y reemplazan los enlaces legítimos con otros maliciosos que conducen a sitios web para robar credenciales o descargas de malware. Esta técnica ha crecido un 35% año tras año según el Informe de Delitos en Internet del FBI de 2023, con pérdidas promedio alcanzando $2,000 por víctima. El ataque es particularmente efectivo porque el correo clonado a menudo llega poco después del legítimo, aparece en el mismo hilo de conversación, y contiene marcas idénticas, logos y mensajes. Los ataques de clonación de correo frecuentemente se dirigen a profesionales de negocios durante el procesamiento de facturas, solicitudes de restablecimiento de contraseña y notificaciones de actualización de software. El peligro de la clonación de correo radica en su explotación de relaciones de confianza establecidas. Cuando recibe lo que parece ser un mensaje de seguimiento de su departamento de TI o un segundo aviso de su compañía de tarjeta de crédito, su cautela es naturalmente menor que con comunicaciones inesperadas. Los atacantes explotan esta vulnerabilidad psicológica, sabiendo que los destinatarios son más propensos a hacer clic en enlaces en mensajes que parecen continuar conversaciones legítimas. La Comisión Federal de Comercio reportó que los esquemas de compromiso de correo empresarial que involucraban clonación de correo resultaron en más de $2.7 mil millones en pérdidas en 2023, convirtiéndolo en una de las formas más costosas de fraude cibernético.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Interceptar correos electrónicos legítimos a través de cuentas de correo comprometidas o ataques de intermediario, permitiendo a los atacantes ver las comunicaciones genuinas antes de clonarlas con modificaciones maliciosas.
• Crear copias idénticas de correos electrónicos de remitentes confiables como bancos, empleadores o proveedores de servicios, reemplazando solo los enlaces o archivos adjuntos incrustados mientras se mantiene todo el contenido, marca y formato sin cambios.
• Cronometrar correos clonados para que lleguen dentro de horas o días del mensaje legítimo, a menudo afirmando ser un seguimiento, corrección o actualización urgente que requiere acción inmediata.
• Falsificar direcciones de remitente para que parezca que el correo clonado proviene de la misma fuente legítima, utilizando técnicas como manipulación del nombre mostrado o dominios que se ven similares.
• Incrustar enlaces maliciosos que redirigen a páginas de inicio de sesión diseñadas para robar credenciales, idénticas a sitios web legítimos, capturando nombres de usuario y contraseñas cuando las víctimas intentan iniciar sesión.
• Usar cuentas de correo comprometidas de colegas, socios o contactos conocidos para enviar mensajes clonados, haciendo que el ataque parezca originarse dentro de redes confiables e incrementando la credibilidad.

How to Identify

Recibir correos duplicados o casi duplicados sobre el mismo tema en un corto período de tiempo, especialmente si afirman que el mensaje anterior contenía un error o requiere acción urgente.
Notar pequeñas discrepancias en direcciones de correo del remitente, como caracteres adicionales, números o dominios que se ven similares pero difieren por una letra de la fuente legítima.
Encontrar que los enlaces en el correo, al pasar el cursor, muestran URLs que no coinciden con el dominio de la organización legítima o redirigen a través de URLs acortadas o direcciones IP desconocidas.
Detectar urgencia inesperada en mensajes de seguimiento que afirman que su cuenta será suspendida, el pago fue rechazado o se requiere verificación inmediata, cuando la comunicación original no tenía tal urgencia.
Observar pequeñas inconsistencias de formato, cambios de fuente inusuales o pequeñas alteraciones en logos o firmas que no estaban presentes en correos anteriores legítimos del mismo remitente.
Recibir solicitudes de restablecimiento de contraseña, actualizaciones de facturas o notificaciones de envío que no inició, especialmente si llegan poco después de recibir una comunicación legítima similar.

How to Protect Yourself

Verificar correos electrónicos sospechosos contactando al remitente a través de un canal de comunicación separado e independientemente obtenido, como un número de teléfono del sitio web oficial, nunca usando información de contacto del correo cuestionable.
Escribir manualmente las URLs de sitios web directamente en su navegador en lugar de hacer clic en enlaces en correos electrónicos, especialmente para cuentas bancarias, de correo u otras cuentas sensibles que requieren credenciales de inicio de sesión.
Habilitar autenticación multifactor en todas las cuentas críticas incluyendo correo electrónico, banca y sistemas de trabajo, lo que evita que los atacantes accedan a las cuentas incluso si obtienen su contraseña a través de clonación de correo.
Pasar el cursor sobre todos los enlaces antes de hacer clic para inspeccionar la URL de destino real, y desconfiar de cualquier enlace que no conduzca al dominio legítimo de la organización o use acortadores de URL.
Implementar reglas de filtrado de correo electrónico y software de seguridad que detecten direcciones de remitente falsificadas, marquen correos externos que afirmen ser de fuentes internas y adviertan sobre correos con características sospechosas.
Establecer procedimientos de verificación con su organización para transacciones financieras, cambios de facturas y solicitudes sensibles que requieran confirmación a través de un segundo método de comunicación antes de tomar medidas.

Real-World Examples

Un dueño de pequeña empresa recibió lo que pareció ser un segundo aviso de su proveedor de suministros de oficina sobre una factura pendiente de $1,850. El correo era idéntico a una factura legítima recibida dos días antes, incluyendo los mismos detalles de pedido y logo del proveedor. La única diferencia era un enlace para "ver detalles de pago actualizados" que conducía a un portal de pago falso. Después de ingresar sus credenciales bancarias para realizar el pago, el atacante drenó la cuenta corriente de su negocio de $12,400 antes de que el fraude fuera descubierto.

Un empleado de una empresa de tecnología recibió un correo clonado que aparentaba provenir de su departamento de TI, pidiéndole que verificara su cuenta de Microsoft 365 tras una actualización de seguridad. El correo era una copia exacta de un aviso de TI legítimo enviado a toda la empresa tres horas antes. El empleado hizo clic en el enlace de verificación e ingresó sus credenciales en una página de inicio de sesión falsa convincente. En 30 minutos, el atacante accedió a la cuenta de correo del empleado y envió solicitudes de redirección de pago a los clientes de la empresa, resultando en $47,000 en pagos desviados.

Un propietario de vivienda recibió un correo clonado de lo que parecía ser su administrador de hipoteca, solicitando confirmación de detalles de la cuenta de depósito en garantía. El mensaje llegó un día después de un estado de análisis de depósito en garantía anual legítimo. Creyendo que era un seguimiento para asegurar la precisión, el propietario hizo clic en el enlace e ingresó sus credenciales de banca en línea. El estafador utilizó estas credenciales para iniciar transferencias bancarias por un total de $8,200 a cuentas en el extranjero antes de que el sistema de detección de fraude del banco señalara la actividad sospechosa.

Frequently Asked Questions

¿Cómo pueden los atacantes crear copias tan perfectas de correos electrónicos legítimos?

Los atacantes obtienen correos electrónicos legítimos a través de varios métodos: comprometer cuentas de correo para acceder a mensajes enviados, interceptar correos a través de vulnerabilidades de red o usar información disponible públicamente de brechas de datos. Una vez que tienen un correo genuino, utilizan técnicas simples de copiar y pegar para recrearlo exactamente, modificando solo los enlaces o archivos adjuntos incrustados. Las herramientas modernas de diseño de correo hacen que sea trivial replicar plantillas de correo profesionales con precisión perfecta.

¿Por qué los filtros de spam no detectan correos de clonación?

Los correos de clonación a menudo evaden los filtros de spam porque contienen contenido legítimo, formato apropiado y marca precisa de organizaciones reales. El único elemento malicioso típicamente es un enlace o archivo adjunto modificado, que los filtros pueden no detectar si el sitio web de destino es recién creado y aún no está en listas negras. Además, si el correo proviene de una cuenta legítima comprometida, pasa controles de autenticación como SPF y DKIM en los que los filtros se basan para identificar mensajes falsificados.

Si hice clic en un enlace pero no ingresé ninguna información, ¿aún estoy en riesgo?

Simplemente hacer clic en un enlace en un correo de clonación aún puede presentar riesgos, aunque menos graves que proporcionar credenciales. El sitio web malicioso puede intentar descargas de conducción de malware, rastrear su dirección IP e información del navegador, o usar exploits dirigidos a vulnerabilidades del navegador. Ejecute inmediatamente escaneos anti-malware, limpie su caché y cookies del navegador, y monitoree sus cuentas para actividad inusual. Cambie las contraseñas como precaución si el enlace conducía a una página de inicio de sesión falsa, incluso si no envió información.

¿Qué tan rápido tengo que actuar si me doy cuenta de que caí en un ataque de clonación?

Actúe en minutos si es posible. Cambie inmediatamente la contraseña de cualquier cuenta donde ingresó credenciales, comenzando con su cuenta de correo ya que los atacantes a menudo usan correo comprometido para restablecer otras contraseñas. Habilite autenticación multifactor en todas las cuentas afectadas. Contacte a su banco o compañía de tarjeta de crédito si proporcionó información financiera. Para incidentes relacionados con el trabajo, notifique inmediatamente a su equipo de seguridad de TI para que puedan asegurar sistemas y alertar a otros objetivos potenciales. Cuanto más rápido responda, más puede limitar el daño.

¿Puede ocurrir clonación en mensajes de texto o redes sociales, o solo en correo electrónico?

La clonación ocurre principalmente a través de correo electrónico porque los atacantes necesitan acceso a comunicaciones previas para crear duplicados convincentes, lo cual es más fácil con interceptación de correo. Sin embargo, técnicas similares llamadas "suplantación por SMS" (smishing) pueden clonar mensajes de texto de bancos o proveedores de servicios, y los mensajes de redes sociales pueden duplicarse si un atacante compromete una cuenta. La técnica central de copiar comunicaciones legítimas y modificar enlaces funciona en plataformas, aunque el correo electrónico sigue siendo el vector más común debido a su amplio uso empresarial y vulnerabilidades técnicas.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API