¿Sabía que más de 90 % de todos los ataques y las filtraciones de datos exitosos empiezan con una estafa de phishing? ¿Sabe siquiera qué es el phishing y cómo proteger su empresa de ser víctima?
Las estafas de phishing son intentos de los ciberdelincuentes de engañar a los usuarios para que realicen algún tipo de acción, como hacer clic en un enlace, ingresar credenciales, abrir un archivo adjunto o incluso hacer cambios en el proceso de una empresa. Estas estafas por lo general se tratan de correos electrónicos maliciosos, pero también pueden tomar otras formas. Pueden resultar en: ransomware, instalación de software malicioso (virus, troyanos, gusanos), credenciales robadas, hurto de dinero, pérdida de datos o incluso robo de identidad. Los phishers explotan rasgos humanos comunes, como la confianza en las personas que conoce, para engañarlo y lograr que haga algo que no haría normalmente.
Prepare sus defensas
Si un phish tiene la intención de engañarlo, ¿cómo puede proteger a su fuerza laboral de él? Esto parece un objetivo en movimiento. Y lo es. Debido a que los phishers actuales están cambiando sus tácticas para engañar a las personas, es aún más importante que nunca que se prepare para que siempre pueda responder a lo que ocurra.
Puede prepararse al mejorar sus defensas técnicas y ver a su fuerza laboral como una extensión de su equipo de seguridad. Tener filtros de spam adecuados, una puerta de acceso de correo electrónico segura y utilizar protocolos de autenticación de correo electrónico estándar (como DMARC, DKIM o SPF) y otras tecnologías es clave para evitar que los phishes lleguen a las bandejas de entrada. Pero aún es inevitable que su equipo eventualmente se enfrente con el phishing. Y solo se necesita el clic de una persona para crear estragos potencialmente que requieran que sus equipos de seguridad trabajen horas extras.
¿No preferiría que sus empleados estuvieran preparados para reconocer y denunciar un correo electrónico de phishing en lugar de hacer clic en él? Yo sí. Por eso, doy prioridad a la capacitación continua de concientización sobre seguridad. Capacite a sus empleados sobre qué son las estafas de phishing y cómo identificarlas. Si es posible, ponga a prueba su capacidad para identificarlas y recompénselos cuando las detecten. Anime a su personal a denunciar correos electrónicos sospechosos ante su equipo de seguridad, y sería aún mejor si añade una manera fácil de hacerlo. No permita que el phishing o la seguridad se conviertan en un tema aislado. Mantenga la conversación abierta.
Anatomía de un ataque de phishing
Una vez que se comprometa a preparar a su fuerza laboral, debe comprender a quién se enfrenta. ¿Cómo funciona el phishing y qué buscan los phishers?
El concepto detrás del phishing es sencillo y nada novedoso. ¿Recuerda haber recibido una llamada telefónica donde se le dijo que había ganado un concurso en el que no recordaba haber participado? Se puso muy contento y le dijo a la persona que llamó todo lo necesario para poder obtener su premio. Ese mismo concepto se aplica hoy con el phishing, solo que se lleva a cabo a través de correo electrónico u otro canal de comunicación digital.
Los phishers, que en realidad son simplemente estafadores que utilizan comunicaciones digitales, explotan rasgos humanos comunes, como la confianza en las personas que conocemos, para engañarnos y lograr que hagamos algo que normalmente no haríamos.
Por ejemplo, un phisher envía un correo electrónico a un destinatario. Dentro de este correo electrónico hay señuelos para tratar de convencer al destinatario de que tome cualquier medida que se le solicite. Los correos electrónicos suelen contener hipervínculos o archivos adjuntos, pero no siempre. Los hipervínculos suelen estar dirigidos a sitios web falsos que solicitan algún tipo de información. Algunos incluso pueden hacerse pasar por empresas legítimas. Los archivos adjuntos suelen contener algún tipo de código malicioso para infectar la computadora o la red del destinatario. Los correos electrónicos que no contienen ninguno de los dos generalmente le piden al destinatario que responda al correo electrónico o que llame a un número para compartir información que el remitente necesita.
Si el destinatario cae en la estafa, a menudo no se da cuenta. Cree que fue legítimo y que incluso puede suceder algo positivo. Pero el phisher ha robado su información o dinero, o quizás haya infectado su computadora.
Diferentes tipos de ataques de phishing
No todos los phishes son iguales. Necesita preparar a todas las personas de su organización para que sepan reconocer diferentes tipos de phishing. Estos son algunos tipos comunes:
Spear phishing
El spear phishing (phishing selectivo) es una estafa dirigida a un público específico. Usted no recibe el correo electrónico por accidente. El phisher ha llevado a cabo una investigación específica para encontrarlo y enviarle un mensaje que tenga sentido para usted. Podría deberse a que usted es parte del departamento de RR. HH. de su empresa, o tal vez recientemente publicó en línea que lo ascendieron.
Whaling
El whaling (caza de ballenas) es un tipo de spear phishing dirigido directamente a los ejecutivos de una empresa, los “peces gordos”. El equipo ejecutivo de una empresa suele ser información pública y se encuentra fácilmente en el sitio web de la empresa. Esto los convierte en blancos fáciles. Pero también suelen tener acceso a información confidencial y tomar decisiones financieras, lo que los convierte en un objetivo lucrativo para los phishers.
BEC y fraude del CEO
El correo electrónico empresarial comprometido (Business Email Compromise, BEC) y el fraude del CEO son otra forma de spear phishing que busca hacerse pasar por su empresa o el CEO de su empresa. Sabiendo que las personas rápidamente confían en aquellos que ocupan puestos de autoridad, los phishers se hacen pasar por personas que probablemente obtengan el cumplimiento de una solicitud. Los dominios de correo electrónico de una empresa son fáciles de falsificar, y los logotipos oficiales pueden encontrarse en línea. También se puede acceder fácilmente a los nombres de las personas que trabajan en su empresa a través de muchos sitios de redes sociales. Esto facilita que los phishers se concentren en el BEC.
Vishing
El vishing es phishing por teléfono (proviene de “voice phishing” o phishing de voz). Estas son esencialmente las llamadas telefónicas fraudulentas que recibe en la actualidad y que probablemente haya recibido en el pasado, incluso antes de tener una computadora en su hogar. Estas estafas tradicionales tienen éxito porque escuchar la voz de una persona lo ayuda a construir una relación con quien llama. Esto hace que sea más difícil para usted no cumplir con la solicitud de la persona que llama.
Smishing/SMShing
El smishing, también conocido como SMShing, son mensajes de texto maliciosos (significa “phishing por SMS”; “SMS” se refiere a mensajes de texto). Estas son versiones más cortas de las estafas de phishing más tradicionales y generalmente contienen un hipervínculo abreviado con un mensaje breve y directo que insta a la acción.
Concientización sobre phishing: ¿cómo se detecta un phish?
Una de las primeras preguntas más comunes que puede tener es: ¿cómo sé si algo es un phish? Si bien podríamos abordar todas las formas técnicas de evaluar los encabezados de los correos electrónicos, en el caso de los usuarios finales en general, deben recibir capacitación sobre algunas señales de advertencia clave. Pero aún más importante que las señales de advertencia es recordarles que, si tienen alguna duda, deben informarse y denunciar el correo electrónico ante su equipo de seguridad para que se investigue más a fondo si sospechan de un phish. Recuerde, debe fomentarse una buena dosis de escepticismo.
Señales de advertencia de phishing
¿Cuáles son las señales de advertencia? Hay muchas, y pueden cambiar a medida que los phishers cambian sus tácticas. En general, si su fuerza laboral nota una combinación de cualquiera de estas señales de advertencia, debe proceder con extrema precaución:
- saludos o firmas genéricos
- falta de información del remitente o de la empresa
- imágenes pixeladas o borrosas
- enlaces a sitios web que no tienen sentido
- mala ortografía o gramática
- amenazas o solicitudes urgentes
- ofertas que son demasiado buenas para ser verdad
- solicitudes de información personal o para transferir fondos, mover dinero o cambiar la información de depósito directo
- correo electrónico o archivos adjuntos inesperados
- asunto y mensaje que no coinciden
- no hay una comunicación de seguimiento
¿No está seguro de si un correo electrónico es real o phishing? Siga estos pasos:
- Infórmese. Busque en línea información sobre el supuesto remitente. Incluso puede buscar el correo electrónico exacto que recibió y ver si otros ya lo han marcado como estafa.
- Confirme las solicitudes utilizando un segundo método de verificación. Nunca envíe un correo electrónico al remitente respondiendo al correo electrónico original. Utilice un método de comunicación independiente, como un número de teléfono o una dirección de correo electrónico de una factura reciente, para comunicarse con el remitente y confirmar la solicitud.
- Pase el cursor sobre los enlaces en el correo electrónico y vea si la dirección web del hipervínculo coincide con el dominio del sitio web legítimo de la empresa. Escriba el hipervínculo en el navegador si no está seguro. No haga clic en el enlace.
- Mire el nombre de los archivos adjuntos. Considere si esperaba ese mensaje o si lo necesita. Nunca abra un archivo adjunto que no esté esperando o uno que termine con una extensión que quizá no reconozca (es decir, nombredearchivo.exe cuando dice que es un documento de Word).
- Utilice su propio juicio. En muchos casos, utilizar el sentido común puede ayudarlo a identificar si un correo electrónico es legítimo o si puede tratarse de phishing.
¿Fue dirigido a un sitio web y no está seguro de si es legítimo? Siga estos consejos:
- Verifique la dirección web. ¿El nombre de la empresa en la URL está escrito correctamente? ¿La dirección empieza con https en lugar de http? El hecho de que empiece con https no significa que sea legítimo, solo significa que es una conexión segura. Pero, si no empieza con https, al menos debería ser una señal de alerta para no ingresar ninguna información. Del mismo modo, ver un candado cerrado o una llave en la barra de direcciones no siempre significa que el sitio sea legítimo. Pero, si no los ve, no ingrese ninguna información.
- Esté atento a las ventanas emergentes. Si va a un sitio y se encuentra con una avalancha de anuncios emergentes, tenga cuidado.
- Preste atención a la marca. ¿La marca (el aspecto) del sitio coincide con lo que esperaría de la supuesta empresa que está tratando de visitar?
¿Qué debe hacer si su organización cae en un ataque de phishing?
Recuerde, las estafas de phishing están diseñadas para engañarlo. Es posible que haya implementado las mejores medidas contra el phishing y los mejores programas de concientización y, aún así, que un usuario caiga en una estafa de phishing. Suele ocurrir. Lo más importante es que esté preparado para responder.
Considere estos pasos de recuperación y trabaje con sus equipos de ciberseguridad para crear un plan de respuesta y recuperación adecuado para su organización:
Contenga la exposición potencial
Si un usuario interactúa con un correo electrónico de phishing malicioso, intente aislar la máquina y asegúrese de que su equipo cibernético de seguridad obtenga acceso para investigar.
Cambie las contraseñas
Obligue al usuario a cambiar su contraseña. Si se utilizan varias contraseñas, se recomienda cambiarlas todas, ya que es posible que no sepa el alcance de lo que puede haberse visto comprometido.
Siga su proceso de respuesta a incidentes
Un ataque de phishing es un tipo de incidente de ciberseguridad. Siga sus procesos de respuesta a incidentes, que deben incluir pasos para identificar el correo electrónico de phishing, ubicarlo en las bandejas de entrada de otros usuarios, eliminarlo de esas bandejas de entrada, investigar el impacto y clasificarlo en consecuencia.
Busque malware
Utilice sus herramientas de monitorización para analizar la computadora del usuario y su red en busca de malware (software malicioso como virus, troyanos o gusanos), actividad sospechosa o anomalías.
Protección personal
Dependiendo de la naturaleza del ataque de phishing, si el usuario divulgó información personal, es posible que desee configurar alertas de fraude con las agencias de monitorización de crédito correspondientes. Si el ataque de phishing suplantó o se hizo pasar por una empresa real, comparta esa información con la empresa para que también pueda alertar a otros usuarios.
Dedique tiempo a aprender
Al igual que con cualquier ciberataque, la lección aprendida de un ataque suele ser más valiosa que los datos que el ciberdelincuente ha robado. Haga una lista de las lecciones aprendidas y evalúe sus procesos y controles actuales para determinar si podría hacer algo de forma diferente. Y aumente aún más su concientización sobre el phishing para los usuarios.
Las estafas de phishing son el principal vector de ataque de ciberseguridad por parte de los ciberdelincuentes que se basan en la psicología humana para convencer a un destinatario de que realice alguna acción. Adelántese a este intento preparando sus defensas y a sus empleados para ayudar a detectar un phish.
Recursos adicionales:
- identifique el ransomware y protéjase de él
- pruebe nuestro Kit de prevención contra el ransomware
- lea el white paper Venza el ransomware. 3 estrategias definitivas
- vea el webinar 3 estrategias definitivas para la prevención del ransomware
