Con informes recientes que identifican el phishing como uno de los problemas más persistentes y prevalentes en el ámbito de la ciberseguridad, es importante no sólo entender el nivel de riesgo al que se enfrenta su organización, sino también la mejor manera de mitigar este riesgo.
Las estafas por suplantación de identidad existen desde hace bastante tiempo, pero no muestran signos de que vayan a disminuir pronto. Al contrario, están en constante evolución. En el cuarto trimestre de 2016 se produjo un aumento del 45% en los ataques de Business Email Compromise (BEC ) en comparación con el cuarto trimestre de 2015. Esto significa que los ciberdelincuentes están apostando más por explotar el factor humano dentro de su organización frente al despliegue de troyanos y ciberataques automatizados.
¿Cómo puede proteger su empresa contra un ataque de phishing?
1. Formación de sensibilización sobre la suplantación de identidad para los empleados
Puede que sea un tópico a estas alturas, pero es cierto, tus empleados son tu mejor defensa cuando se trata de ciberseguridad general y de proteger a tu organización de un ataque de phishing. Recientemente hemos sido testigos del colosal ataque del ransomware WannaCry. Este ataque puso de manifiesto cómo un simple correo electrónico de phishing, en el que hace clic un empleado desprevenido, puede ser todo lo que se necesita para desencadenar un gran ciberataque que puede infectar rápidamente toda una red. Este ataque demostró lo vital que es su cortafuegos humano dentro de su sistema de seguridad más amplio. Por lo tanto, es muy importante invertir en un curso de ciberseguridad de alta calidad sobre cómo detectar correos electrónicos sospechosos y qué medidas tomar cuando se ha sido víctima de una estafa de phishing. Del mismo modo, podría invertir en ejercicios de simulación de phishing para su organización utilizando nuestro sofisticado producto MetaPhish.
2. Asegúrese de contar con un buen dispositivo de protección contra el spam y de gestión unificada de amenazas (UTM)
No hace falta decir que para que una organización esté lo más protegida posible de una estafa de phishing, es necesario emplear diferentes tipos de seguridad. Puede parecer una inversión considerable, pero duplicar o triplicar los métodos de ciberprotección puede ahorrar mucho tiempo y dinero a largo plazo. Los protectores antispam y los UTM de alta calidad, comprados a nombres de renombre en el mercado, son imprescindibles para cualquier organización que quiera combatir los ataques de phishing, ya que la mayoría de estos correos electrónicos fraudulentos quedarán atrapados en las redes. Sin embargo, como algunos de estos correos electrónicos son muy sofisticados, es importante ser consciente de que los protectores contra el spam no son la respuesta definitiva y que la formación de los empleados es también crucial.
3. Aplicar las directrices para los empleados
Debe tener un registro claro y seguro de qué información es sensible y no debe ser revelada. También debe limitar el número de empleados con acceso a estos datos para minimizar el riesgo de que se filtren o se entreguen a los ciberdelincuentes a través de un correo electrónico de phishing. Deben establecerse directrices claras para instruir a los empleados sobre cómo deben manejar la información importante de la empresa. También es una buena idea aplicar políticas basadas en estas directrices que conciencien a toda la empresa y demuestren que sus empleados están informados.
4. Aplicar una política de seguridad de la información personal
Para minimizar el riesgo, merece la pena considerar la aplicación de una política que establezca que toda la información sensible, por ejemplo los datos bancarios de la empresa, sólo puede comunicarse de forma segura por teléfono o utilizando sitios web https con facilidades de pago seguras, nunca por correo electrónico. Asegurarse de que los empleados son conscientes de que el correo electrónico es un medio arriesgado para proporcionar acceso a información sensible de la empresa es clave para reducir el riesgo, ya que no se puede estar seguro de quién está al otro lado de un correo electrónico. Cuando se solicitan transferencias bancarias por correo electrónico (como es habitual en los sofisticados ataques de spear phishing), la mejor práctica es llamar siempre directamente a la persona implicada y comprobar que la solicitud procede de ella. Si esto se convierte en una práctica habitual, se reducirá el riesgo de forma significativa.
5. Cambia tus datos de acceso a las cuentas con regularidad y utiliza diferentes datos de acceso para cada cuenta
En MetaCompliance decimos que "las contraseñas son como los pantalones" y es cierto.
¡Cambie sus contraseñas y datos de acceso con regularidad y no los deje por ahí! Cuanto más frecuentemente cambie sus datos de acceso a las cuentas de la empresa, menos posibilidades tendrán los piratas informáticos (que quizás hayan accedido a sus cuentas en el pasado) de volver una y otra vez para obtener más información. Del mismo modo, tener un solo conjunto de datos de acceso para todas las cuentas de la empresa es una mala idea. Piensa, ¿tendrías una sola llave maestra que te diera acceso a cualquier habitación de tu organización? En el desafortunado caso de que un pirata informático acceda a una cuenta utilizando los datos obtenidos a través de un correo electrónico de suplantación de identidad, puede estar seguro de que utilizará los mismos datos para intentar piratear sus otras cuentas. No se lo pongas más fácil.
¿Tiene algún otro método para proteger su empresa contra los ataques de phishing? O bien, ¿hay algún otro enfoque empresarial para este tipo de ciberataques que podría introducirse en el futuro?