Las conclusiones del «Informe de tendencias de la actividad de phishing» del Grupo de Trabajo Antiphishing (APWG) indican que en 2016 se produjeron más de 1,2 millones de ataques de phishing conocidos. Esto supone un enorme aumento del 65% con respecto a 2015, y es el total anual más alto desde que el APWG comenzó a supervisar los ataques en 2004.

Los correos electrónicos de suplantación de identidad están diseñados para llamar la atención y provocar una respuesta inmediata, induciendo a la víctima potencial a reaccionar con rapidez y hacer clic en la llamada a la acción fraudulenta. Por término medio, los sitios de phishing permanecen en línea menos de 15 horas, lo que dificulta enormemente su rápida identificación y bloqueo. Por si fuera poco, cerca del 100% de las URL de phishing apuntan a páginas o sitios maliciosos dentro de dominios benignos, lo que les ayuda a parecer fuentes legítimas.

Es este nivel de sofisticación lo que hace que el phishing sea tan retorcido. Suele llegar como un correo electrónico de aspecto inofensivo y le convence para que actúe, normalmente haciendo clic en un enlace o abriendo un archivo. Y en ese momento, se acabó el juego.

Sin duda, hay muchos ahí fuera que saben qué buscar en un correo electrónico de phishing. Sin embargo, sólo hace falta que una persona actúe ante un correo electrónico de phishing para que provoque daños financieros y de reputación a su empresa. Por eso consideramos tan importante utilizar una prueba de phishing para sus empleados.

Prueba de phishing – Cómo detectar un correo electrónico falso

La mayoría de nosotros tenemos cuentas PayPal, por lo que es natural que si recibimos un correo electrónico de la gente de PayPal queramos comprobarlo.

Muchas personas probablemente harían clic en el siguiente correo electrónico, pero si utiliza regularmente este tipo de ejercicio de phishing para sus usuarios podrán identificar lo siguiente al mirar el siguiente correo electrónico:

– ¿La dirección es la que está vinculada a su cuenta PayPal? ¿Qué dice realmente el campo «para»?
– La mala gramática y la mala ortografía son signos evidentes de phishing, especialmente en las grandes empresas, que tienen redactores y editores en nómina para asegurarse de que esto no ocurra en la comunicación externa
– Sin personalización: el nombre está en blanco y en su lugar aparece un «Hola, cliente de PayPal» genérico
– Táctica para asustar: los ataques de phishing suelen hacerle creer que algo va mal en su cuenta, como «Su cuenta PayPal está limitada», para asustarle y que haga clic en la llamada a la acción.

Si aplica regularmente una prueba de phishing en su organización, concienciará a sus empleados en materia de ciberseguridad y les permitirá detectar estos signos reveladores clave en los correos electrónicos de phishing. Sin embargo, muchos ciberdelincuentes son más sofisticados que esto y pueden evitar hábilmente todos los puntos anteriores.

La formación es clave en la protección contra los ataques de phishing y la realización de pruebas de phishing es integral para la protección de su empresa. Puede parecer una idea sencilla, pero la formación es eficaz. Si enseña al personal a qué debe prestar atención cuando se trata de un correo electrónico de phishing, ya estará recorriendo un largo camino para protegerse a sí mismo y a su empresa de un ataque de phishing.

¿Se ha visto sorprendido por un correo electrónico de phishing, o ha visto alguna de las señales de peligro con antelación y ha podido identificarlo antes de que fuera demasiado tarde? Háganoslo saber en los comentarios a continuación.