Con informes recientes que identifican el phishing como uno de los problemas más persistentes y prevalentes en el ámbito de la ciberseguridad, es importante no sólo comprender el nivel de riesgo al que se enfrenta su organización, sino también la mejor forma de mitigarlo.

Las estafas de suplantación de identidad existen desde hace bastante tiempo, pero no muestran signos de desaceleración a corto plazo. Al contrario, evolucionan constantemente. En el cuarto trimestre de 2016 se produjo un  Aumento del 45% en los ataques Business Email Compromise (BEC ) en comparación con el cuarto trimestre de 2015. Esto significa que los ciberdelincuentes apuestan más por explotar el factor humano dentro de su organización frente al despliegue de troyanos y ciberataques automatizados.

Entonces, ¿cómo puede proteger su empresa contra un ataque de phishing?

1. Formación de concienciación sobre phishing para los empleados

Puede que a estas alturas sea un tópico, pero es cierto, sus empleados son su mejor defensa cuando se trata de ciberseguridad en general y de proteger a su organización de un ataque de phishing. Recientemente hemos sido testigos del colosal ataque del ransomware WannaCry. Este ataque puso de relieve cómo un simple correo electrónico de phishing, en el que hace clic un empleado desprevenido, puede ser todo lo que se necesita para desencadenar un gran ciberataque que puede infectar rápidamente toda una red. Este ataque demostró lo vital que es su cortafuegos humano dentro de su sistema de seguridad más amplio. Por lo tanto, invertir en eLearning de ciberseguridad de alta calidad sobre cómo detectar correos electrónicos sospechosos y qué pasos dar cuando se ha sido víctima de una estafa de phishing es súper importante. Del mismo modo, podría invertir en ejercicios de phishing simulado para su organización utilizando nuestro sofisticado producto MetaPhish.

2. Asegúrese de que dispone de un buen dispositivo antispam y de gestión unificada de amenazas (UTM)

Ni que decir tiene que para que una organización esté lo más protegida posible frente a una estafa de phishing, es necesario emplear distintos tipos de seguridad. Puede parecer una inversión considerable ahora, pero duplicar o triplicar sus métodos de ciberprotección podría ahorrarle mucho tiempo y dinero a largo plazo. Los antispam y los UTM de alta calidad, adquiridos a nombres reputados en el mercado, son imprescindibles para cualquier organización que quiera combatir los ataques de phishing, ya que la mayoría de estos correos electrónicos fraudulentos quedarán atrapados en las redes. Sin embargo, como algunos de estos correos electrónicos son muy sofisticados, es importante ser consciente de que los protectores antispam por sí solos no son la respuesta definitiva y que la formación para la concienciación de los empleados también es crucial.

3. Implantar directrices para los empleados

Debe tener un registro claro y seguro de qué información es sensible y no debe divulgarse. También debe limitar el número de empleados con acceso a estos datos para minimizar el riesgo de que se filtren o se entreguen a ciberdelincuentes a través de un  correo electrónico de phishing. Deben establecerse directrices claras para instruir a los empleados sobre cómo deben manejar la información importante de la empresa. También es una buena idea aplicar políticas basadas en estas directrices que creen conciencia en toda la empresa y demuestren que sus empleados están al tanto.

4. Implantar una política de seguridad de la información personal

Para minimizar el riesgo, merece la pena considerar la implantación de una política que establezca que toda la información sensible, por ejemplo los datos bancarios de la empresa, sólo puede comunicarse de forma segura por teléfono o utilizando sitios web https con facilidades de pago seguras, nunca por correo electrónico. Asegurarse de que sus empleados son conscientes de que el correo electrónico es un medio arriesgado a través del cual proporcionar acceso a información sensible de la empresa es clave para reducir el riesgo que conlleva, ya que no se puede estar seguro de quién está al otro lado de un correo electrónico. Cuando se solicitan transferencias bancarias por correo electrónico (como es habitual en los sofisticados ataques de phishing con arpón), la mejor práctica es llamar siempre directamente a la persona implicada y volver a comprobar que esa solicitud procede de ella. Implemente esto como práctica habitual y reducirá su riesgo de forma significativa.

5. Cambie sus datos de acceso a las cuentas con regularidad y utilice datos de acceso diferentes para cada cuenta

El dicho aquí en MetaCompliance es ‘Las contraseñas son como los pantalones’ y es cierto.
¡Cambie sus contraseñas y detalles de inicio de sesión con regularidad y no los deje por ahí! Cuanto más a menudo cambie sus datos de acceso a las cuentas de la empresa, menos posibilidades tendrán los piratas informáticos (que quizás hayan accedido a sus cuentas en el pasado) de volver una y otra vez para obtener más información. Del mismo modo, ¡tener un único conjunto de datos de acceso para todas las cuentas de la empresa es una mala idea! Piénselo, ¿tendría usted una sola llave maestra que le diera acceso a cualquier habitación de su organización? En las desafortunadas circunstancias de que un pirata informático consiga acceder a una cuenta utilizando detalles obtenidos de un correo electrónico de phishing, puede estar seguro de que utilizará los mismos detalles para intentar piratear sus otras cuentas. ¡No se lo ponga más fácil!

¿Tiene algún otro método para proteger su empresa contra los ataques de phishing? ¿O hay algún otro enfoque empresarial para este tipo de ciberataques que podría ver introducirse en el futuro?