La ciberseguridad se está convirtiendo en la última tendencia. Todos hemos leído sobre las brechas de TalkTalk, Dropbox y Yahoo, y esto significa que sólo irán en aumento en un futuro próximo.

Como seres humanos, estamos predispuestos a cometer errores, por lo que es necesario que eduque a su personal sobre lo que debe tener en cuenta. Puede proteger su organización concienciando a su personal para que evite hacer clic en enlaces de correo electrónico sospechosos, deje de anotar sus contraseñas en un post-it o sepa que no debe conectarse a redes Wi-Fi públicas cuando trabaje a distancia.

En esta serie de blogs, volvemos a lo básico, así que echemos un vistazo al tipo de amenazas de phishing que existen. Para armarse contra un posible ataque de phishing, debe aprovechar las barreras técnicas, pero también la concienciación del personal. En última instancia, la concienciación del personal ayudará a sus empleados a reconocer las tácticas habituales utilizadas por los ciberdelincuentes en un correo electrónico de phishing.

  • Phishing

El filtro antispam de sus cuentas de correo electrónico personales o del trabajo suele detectar los correos basura, pero a veces pueden abrirse camino hasta su bandeja de entrada principal. Aquí es donde debe ser capaz de detectar un correo electrónico de phishing. El hecho de que su filtro antispam le ayude de vez en cuando y aleje los correos basura de su vista es a la vez una ayuda y un obstáculo. El filtro le ayuda porque no tiene la tentación de hacer clic en él directamente (ojos que no ven, corazón que no siente), pero esto le impide ver las tácticas que utilizarán los piratas informáticos y, por lo tanto, puede impedirle notar la diferencia entre un correo electrónico auténtico y uno de phishing.

Por ejemplo, un individuo se pone en contacto con usted para decirle que ha sido identificado como el último descendiente vivo de un rico financiero y que tiene derecho a su fortuna. El sentido común está al alcance de la mano para decirle que esto es prácticamente imposible. No sólo eso, sino que a usted le gustaría pensar que recibiría un documento legal confirmando tal noticia en lugar de un correo electrónico de una cuenta de Hotmail.

Si puede detectar estas señales de advertencia, eso es bueno. Los correos electrónicos de phishing generalizados están diseñados para pillarle, pero las falsas promesas o la falta de gramática utilizada en el correo electrónico deberían alertarle de los peligros. Pero – los ciberdelincuentes son cada vez más listos.

Un test de ransomware es una solución para poner a prueba a sus empleados sobre su comportamiento ante los correos electrónicos de phishing. Una solución de software de phishing simulado puede proporcionar a la dirección informes sobre cómo reaccionan los empleados ante este tipo de correos electrónicos. Los informes indicarán qué miembros del personal necesitan realizar un módulo de formación sobre phishing.

  • Phishing con arpón

Se trata de un método de phishing extremadamente sofisticado. Los ciberdelincuentes que envían correos electrónicos de spear phishing han hecho sus deberes; habrán adaptado el contenido del correo electrónico específicamente para usted. Para conseguirlo, le habrán monitorizado a usted y a sus colegas en las redes sociales y, finalmente, utilizarán esta información para crear el correo electrónico perfecto para usted que utilizarán para ganarse su confianza.

El correo electrónico que reciba parecerá proceder de un particular o de una empresa. Añada a la mezcla la información personal que han recopilado y será la receta para el desastre. En comparación con un correo electrónico de phishing estándar, un correo electrónico de spear phishing se dirigirá personalmente a usted e incluirá información que le resulte atractiva.

¿Qué pasaría si recibiera un correo electrónico firmado por su equipo de soporte informático para decirle que su cuenta de correo electrónico se está quedando sin espacio? Este tipo de correo electrónico parece un poco más plausible. Las firmas de correo electrónico pueden parecer oficiales: todo eso está muy bien pero, algunas cosas de las que debe desconfiar en el cuerpo del correo electrónico son la ortografía y la gramática, a quién va dirigido (¿se refieren a usted por su nombre o simplemente como «usuario»?) y cualquier enlace que se proporcione.

  • La caza de ballenas

Esta forma de ataque de phishing se dirige directamente a los altos cargos y directivos, pero el objetivo sigue siendo el mismo: conseguir información.

El ciberdelincuente se enmascarará como una fuente fiable o digna de confianza, de forma muy similar al spear phishing. Sin embargo, un ataque de whaling está diseñado para engañar a los altos cargos de la plantilla, ya que es más probable que tengan acceso a información financiera importante de la empresa y posiblemente incluso tengan capacidad para autorizar transacciones financieras o pagos.

Por ejemplo, supongamos que usted es el Director Financiero y recibe un correo electrónico de su colega sobre unas facturas que requieren aprobación para su pago inmediato. También han adjuntado una carpeta zip al correo electrónico. Automáticamente le entra el pánico y su cerebro se pone a pensar : «¿Me he olvidado de autorizarlas? Estoy seguro de que no – procesé todas las facturas el lunes». En este caso, su reacción automática sería hacer clic en la carpeta zip adjunta y comprobar las facturas para refrescar la memoria.

Aquí es donde debe DETENERSE. En lugar de hacer clic en el archivo adjunto, compruebe sus propios registros para ver si el pago fue aprobado. Ahórrese unos segundos adicionales (y la reputación de su empresa) comprobando sus registros antes de acceder a contenidos descargables de un correo electrónico.

Si descargó dicha carpeta zip, es probable que contuviera un archivo sospechoso y que éste ejecutara un peligroso malware en su ordenador o portátil. Este programa podría incluso acceder a su red, causando daños potencialmente irreparables.

Conclusión

Sencillamente, los ataques de phishing pueden destruir una empresa con sólo pulsar un botón. Basta con que una persona haga clic en un enlace o descargue un archivo adjunto para que la reputación y los activos de su empresa estén en peligro. Para combatir la amenaza del phishing, las empresas deben invertir en educar a su personal sobre lo que debe tener en cuenta.

Aquí, en MetaCompliance, proporcionamos software de simulación de phishing y contenidos de eLearning que, en última instancia, aumentarán la sensibilidad de una organización ante los correos electrónicos fraudulentos.

¿Sabía que sólo se tarda un minuto y veinte segundos en que alguien abra un correo electrónico de phishing? En su lugar, tómese ese tiempo para pensar antes de hacer clic.