Aunque no es una práctica reciente y, seguro, la mayoría de las personas conoce un caso, el phishing sigue ganando víctimas. Habitualmente, genera pérdidas económicas, pero cuando involucra a una empresa se ponen en riesgo información confidencial, los recursos de la organización, e incluso, la reputación de la marca. Es decir, es mucho lo que hay en juego.
Por lo tanto, evitar este tipo deciberataque es la mejor decisión. Los protocolos de prevención del phishing van desde la implementación de sistemas de seguridad hasta la educación y concienciación sobre el tema. Aquí, la experiencia en el marketing y la concienciación sobre la ciberseguridad es de gran importancia. Una estrategia de orientada a formar a las plantillas puede ser un grandísimo aliado.
Definición de phishing
¿Qué son los ataques de phishing? Se trata de una estafa de ingeniería social muy común, en la que los atacantes suplantan la identidad de bancos, ejecutivos, socios comerciales o marcas para engañar a las personas y hacer que les den información confidencial: usuarios y claves de bancos, credenciales empresariales, datos de la tarjeta de crédito, entre otros datos sensibles.
También es usual que el engaño sirva para conducir a las víctimas a descargar malware o hacer clic en enlaces maliciosos, que terminan infectando los equipos de la organización y vulnerando sus sistemas. Así, su información queda expuesta a los estafadores.
Los canales que utilizan con mayor frecuencia son los correos electrónicos, llamadas y mensajes telefónicos que parecen provenientes de remitentes legítimos. Con el auge de las nuevas tecnologías de la comunicación, también las redes sociales y las páginas web falsas se han convertido en herramientas para el engaño.
Tipos comunes de phishing
Dentro de los tipos de phishing, se pueden distinguir los que usualmente se llevan a cabo en entornos empresariales:
- Phishing por correo electrónico: es el más común. Estos correos electrónicos son enviados de forma masiva y, en algunos casos, se puede detectar el intento de timo con facilidad.
- Spear phishing: el ataque es más elaborado y está dirigido a una víctima específica, una persona de la empresa cuyo perfil ha sido analizado por el atacante con el fin de dotar el mensaje con información que lo haga convincente y aumente las posibilidades de que sea abierto.
- Whaling phishing: los directivos o ejecutivos son el blanco de este tipo de ataques.
- Voice phishing: se realiza a través de llamadas telefónicas.
- Smishing: en este caso, el canal utilizado es uno o varios mensajes de texto.
- Páginas web falsas: los atacantes crean páginas web muy verosímiles, e incluso llegan a posicionarlas en los primeros lugares de los motores de búsqueda, para hacer que las víctimas introduzcan sus datos. Las páginas de entidades bancarias, sitios de compra y de transferencias de dinero son clonadas con mayor frecuencia.
Aunque cada vez los ataques de phishing son elaborados con mayor meticulosidad, siempre hay detalles en los que te puedes fijar para evitar caer en ellos: un error ortográfico o gramatical, una letra o una palabra de demás en la dirección del remitente o un enlace sospechoso.
Técnicas utilizadas en los ataques de phishing
La característica común de todos estos tipos de phishing es que suelen ser muy convincentes al solicitar la información confidencial, o que estimulan muy bien a los receptores para que les den clic automáticamente a los enlaces que envían. Para ello, generalmente apelan a:
- Sentido de urgencia.
- Autoridad.
- Ofertas muy atractivas y difíciles de ignorar.
En cualquier caso, el ojo crítico es la mejor defensa.
Razones de la vulnerabilidad ante phishing
Hay dos condiciones que hacen que tanto las personas como las empresas sean especialmente vulnerables ante el phishing:
Falta de formación de los trabajadores
La falta de información juega un papel doble porque, en primer lugar, no sabemos identificar cuándo estamos frente a un intento por vulnerar la seguridad de nuestra empresa y nos convertimos en presa fácil.
En segundo lugar, porque subestimamos el alcance de este tipo de ataque, e incluso podemos llegar a pensar que el phishing no es algo que pueda ocurrir en nuestra empresa y bajamos la guardia por completo.
Evolución y sofisticación de los ataques
Los ataques de phishing cada vez son mejor diseñados: son redactados con mayor cuidado, utilizan herramientas tecnológicas sofisticadas y emplean nuevos canales de comunicación para entrar en contacto con las posibles víctimas.
En consecuencia, son más difíciles de detectar y pueden tener mayor efectividad.
Estrategias para proteger tu empresa de ataques de phishing
Entre las estrategias que puedes ejecutar para proteger a tu empresa ante ataques de phishing se encuentran:
Implementación de filtros de correo electrónico
Los filtros de correo electrónico permiten identificar patrones inusuales de comunicaciones, URL sospechosas y archivos adjuntos no seguros, con el fin de bloquear automáticamente los intentos de phishing y evitar que lleguen a la bandeja del personal de la empresa.
Uso de autenticación de dos factores (2fa)
La autenticación de dos factores exige a los usuarios dos formas de verificar la identidad para permitirles el ingreso a los sistemas y aplicaciones empresariales. Por ejemplo, la contraseña y un código enviado a un número telefónico asociado a la cuenta. De esta manera, los atacantes necesitarán más que las credenciales de un empleado para tener acceso a los datos sensibles de la empresa.
Programas de formación y concienciación
La capacitación del personal en torno al tema es crucial. Se debe apuntar al reconocimiento de los riesgos asociados al phishing, la temprana identificación de amenazas y todo el conocimiento que contribuya a generar una cultura de la seguridad y fomente la responsabilidad en cada uno de los empleados dentro de la empresa.
Simulaciones de phishing
Las simulaciones de phishing son ideales para complementar las sesiones formativas porque ponen a prueba su efectividad. Se trata de enviar mensajes que simulan un ataque, para saber si tu personal es capaz de detectar y responder de forma acertada ante estos.
Así podrás reconocer cuáles son las fortalezas que puedes aprovechar y las debilidades que tienes pendiente de atender.
Actualización constante de protocolos y sistemas de seguridad
Los sistemas operativos, los sistemas de seguridad, los filtros de correo electrónico y los navegadores web deben mantenerse actualizados constantemente para evitar las brechas y vulnerabilidades de los software obsoletos. Así podrás hacer frente eficientemente a las innovaciones y tecnologías nuevas que puedan utilizar los atacantes.
Protégete de phishing, protege tu patrimonio
No es una exageración, proteger la información sensible de tu empresa equivale a salvaguardar el patrimonio de la misma.
En Maclucan somos conscientes y lo entendemos muy bien, por ello te ofrecemos nuestra Consultoría de Seguridad para ayudarte a definir y establecer protocolos de seguridad actualizados y altamente eficientes.
Contáctanos y solicita información sin compromiso.