Sabes bien que esos correítos sospechosos, esos mensajes de WhatsApp de gente desconocida que te cuenta negocios increíbles o esas llamadas de “tu banco” en las que te meten prisa para que resuelvas algo urgente son trampas para hacerte caer en un ataque de phishing. Ya sabes, esa técnica maestra de los ciberdelincuentes para que, sin darte cuenta, termines regalándoles tus datos más secretos como números de tarjetas, contraseñas o hasta la dirección de la casa de tu abuela. Y no sólo eso, también te pueden colar un virus de regalo solo por el click. Un virus que luego puede ser un ransomware con el que, por ejemplo, tumbar todos los servicios informáticos de tu empresa.
Y ojo, que en estas trampas no sólo caen los jubilados aburridos o la gente con poca vida digital. Tú mismo puedes acabar siendo el protagonista de una película de terror cibernético con robo de identidad, tu cuenta bancaria en ceros o incluso, ser el afortunado ganador de un ransomware que secuestra tus archivos hasta que sueltes la lana. Lo peor es que los malos se la ingenian haciendo que confíes, metiéndote prisa para que ni pienses. La verdad, es más fácil engañar a alguien que hackear sistemas blindados, así que, ¡aguas con esos mensajitos!
Un ataque de phishing puede tener consecuencias muy graves para una empresa. No solo se trata de pérdidas económicas, también se pone en riesgo la credibilidad y la reputación de la empresa. Además, en los casos más graves, puede terminar en la quiebra.
Muchas empresas están en riesgo de caer en este tipo de estafas cibernéticas, incluso las más grandes y que tienen una imagen robusta, no quedan exentas. Por ello, es fundamental tomar medidas inmediatas y contar con un plan comunicacional interno y externo que permita superar el ataque de phishing sin mayores inconvenientes o pérdidas.
A continuación te damos algunos consejos para elaborarlo.
¿Qué es un ataque de phishing corporativo?
El phishing es uno de los ciberataques más comunes en la actualidad. Consiste en la suplantación de identidad de una persona, institución u organización confiable como marcas, empresas, partners, proveedores, altos ejecutivos o personal de confianza, para engañar o manipular a los usuarios, con el fin de hacerlos descargar software maliciosos o hacerlos entregar información confidencial, personal y credenciales.
Correos electrónicos, plataformas de mensajería instantánea, redes sociales y llamadas telefónicas sirven a los ciberdelincuentes como canales para perpetrar la estafa y hacer que la víctima haga clic hacia una página falsa en la que ingresa su información, o para que abra un archivo adjunto malicioso, con el que se instala un ransomware o malware en el ordenador, donde toda la información queda secuestrada.
Caer en este tipo de estafa parece imposible, pero la verdad es más fácil de lo que nos imaginamos porque los ciberdelincuentes utilizan mensajes muy convincentes, llamativos o prioritarios: premios, cupones, cartas de recursos humanos, alguna nueva asignación u otros. Dentro de las empresas, con frecuencia, el ataque suele estar dirigido a los empleados o a un empleado individual, quien da el clic que sirve para infiltrarse.
El auge de los ataques de phishing en entornos corporativos
Los ataques de phishing en entornos corporativos son más frecuentes de los que podemos imaginar, generando pérdidas considerables y poniendo en riesgo la estabilidad de muchas empresas. Yahoo, Gmail, Equifax, WhatsApp, Microsoft, e incluso, el Departamento del Tesoro de los Estados Unidos se han visto afectados por casos de phishing.
España ocupa el tercer lugar dentro del listado de países más afectados por el phishing y, además, el 90 % de las empresas del país están en riesgo de sufrir un ataque de piratas informáticos.
En tal sentido, tener protocolos de acción ante ataques de phishing se ha convertido en una necesidad para proteger las finanzas y la marca de tu empresa, además de defender a tus clientes, proveedores y empleados.
Medidas a tomar ante un ataque de phishing.
El riesgo de caer ante un intento de phishing está presente todo el tiempo, por lo tanto, es importante tomar medidas desde antes que ocurra el ataque. Para ilustrarlo mejor, tomemos como ejemplo una empresa que ya ha picado el anzuelo y, en consecuencia, su correo electrónico y listas de contacto han quedado en manos de ciberdelincuentes.
Si la intrusión no es detectada a tiempo, puede derivar en la solicitud y robo de información personal de los empleados, envíos de correos a los clientes para desviar los pagos a otras cuentas, y mucho más. Entonces, ¿qué hacer en caso de phishing?
Fortalecer los protocolos de seguridad
Antes que nada, fortalecer los protocolos de seguridad y proteger los software, cuentas bancarias y cuentas online que utiliza la empresa, ya que funciona como un blindaje ante el phishing. Si estas acciones se implementan antes del ataque, permite detectar y neutralizar a tiempo:
- Actualiza con regularidad las claves de acceso, y cuando lo hagas procura que sean de alta complejidad.
- Existen software de seguridad capaces de detectar y bloquear correos electrónicos y sitios web sospechosos, puedes apoyarte en ellos.
- Instala y actualiza un antivirus con efectividad comprobada.
- Utiliza la autentificación de dos pasos.
Ahora bien, una vez se ha hecho efectivo el ataque de phishing, es necesario realizar una auditoría de salud digital y monitorear constantemente para conocer el alcance del incidente. Además, es importante emprender la estrategia de comunicación que evitará que escale y se vuelva más difícil de manejar.
Comunicación interna
Aunque la mayoría de las personas ha sido advertida sobre el phishing, aún es muy común que ocurra. Por lo tanto, la estrategia de comunicación interna, en principio, debe enfocarse en capacitar al personal para que identifique las características de un correo phishing: errores ortográficos, URL sospechosas, remitentes diferentes, entre otros.
Si ya ha ocurrido el ataque, es imperante comunicarlo a todo el personal en el menor tiempo posible para evitar que den datos de acceso a sus propias cuentas u otra información de la empresa.
Comunicación externa
Al igual que la comunicación interna, los mecanismos de comunicación externa se deben accionar inmediatamente después de saber del ataque por dos razones.
La primera y la principal, es para proteger a las personas involucradas en los procesos de tu empresa u organización y que sean afectados en la menor medida posible; y la segunda, para tener el rol de fuente principal del suceso y mantener un perfil responsable y confiable en todo momento.
En tu estrategia de comunicación externa puedes usar diferentes canales de comunicación y tener en cuenta a:
Proveedores
Con los proveedores puedes establecer un tipo de comunicación más directa, utilizando comunicados y correos electrónicos para evitar que el ataque escale y que las pérdidas económicas sean mayores.
Opinión pública
Designa un vocero oficial y utiliza redes sociales y medios de comunicación para informar los detalles y el alcance del ataque. Esto denota transparencia y contribuye a mantener la reputación de la marca.
Organismo oficiales
Por su puesto, la denuncia ante los organismos oficiales debe quedar establecida porque sirve como precedente y te ayuda a evitar nuevos ataques.
Clientes
La comunicación con los clientes persigue varios objetivos: mantenerlos informados y evitar que caigan en estafas en nombre de tu empresa, y conservar la confianza hacia la marca. Además, puedes emprender una campaña en la que también los eduques sobre la manera de identificar los ataques de phishing.
Conclusión: el papel crucial de las empresas en la seguridad de sus empleados
A pesar de los avances en materia de Ciberseguridad y por encima de todas las advertencias, cientos de miles de personas y empresas siguen siendo víctimas del phishing cada año. Esto se debe a que este tipo de ciberataques han evolucionado con el tiempo, y se han vuelto más sofisticados y más difíciles de detectar.
En este sentido, las organizaciones tienen un papel crucial en la lucha contra el phishing, empezando por educar a sus equipos. Descubre aquí cómo convertimos a tus trabajadores a convertirse en la primera línea de defensa contra el phishing. Enseñar a reconocer los correos trampa es el primer paso: pedidos de info personal, solicitudes de dinero, archivos adjuntos extraños, mensajes con urgencia o errores gramaticales, y enlaces que parecen sacados de una novela de espías. Aunque esta lista suena extensa, la creatividad humana no tiene límites y los ciberdelincuentes no son ninguna excepción.
Entrenar el ojo crítico del personal constantemente y formarlos para que aprendan cuáles son las estrategias de los ciberdelincuentes, es la mejor forma de frenar el robo de la valiosa información confidencial de las empresas, y ponerse un paso adelante para proteger a clientes y empleados.