El riesgo de listar todos los correos en el campo Para y CC es el acceso a toda la lista de correos destinatarios con la facilidad que cualquiera puede tomar esos datos para fines comerciales (comercialización de bases de datos) o más inescrupulosos y criminales. Los campos BCC o CCO (como lo tenga el cliente de correo que usemos, es lo mismo) sirven para ocultar la lista de destinatarios a la que necesitamos enviar un correo de difusión masivo e importante.
Ojo, CCO también se usa a veces para que cierto tipo de spam parezca más auténtico. Al esconder la dirección del destinatario, el expendedor de spam espera engañar y hacer creer que el destinatario ha recibido accidentalmente un email (sobre una oferta que supuestamente lo hará millonario, por ejemplo) que no iba dirigido a él.
Solemos leer con frecuencia que NO debemos abrir ADJUNTOS de correos sospechosos pero debemos ir un poco más allá y NO ABRIR CORREOS SOSPECHOSOS hasta asegurarnos de ser posible, que de verdad no sea dañino. Todo correo con fines perversos, abierto, puede incluir un pixel oculto que notifica al emisor de la recepción y apertura del correo, con lo que validaría nuestra cuenta de correo.