¿Qué son las estafas de phishing?
Los phishing scams, una táctica engañosa, son utilizados habitualmente por los ciberdelincuentes para llevar a cabo actividades nefastas. La mayoría de la gente se ha encontrado alguna vez con un correo electrónico de phishing. A pesar de su prevalencia, los ciberdelincuentes siguen utilizando este método para instalar malware, robar credenciales y cometer estafas, entre las que se incluye el Business Email Compromise (BEC).
Un informe de CISCO sobre las tendencias de las amenazas de ciberseguridad en 2021 sitúa el phishing y la criptominería como las dos principales amenazas para las empresas. El informe también revela que el 86% de los empleados de las organizaciones hacen clic en enlaces de phishing.
Protegerse contra las estafas de phishing es vital para mantener la seguridad de su organización, ya que el 90% de las filtraciones de datos tienen su origen en ataques de phishing.
He aquí 10 maneras de garantizar que su organización no sea víctima de una estafa de phishing.
10 formas de prevenir los phishing scams
Prevenir los phishing scams implica el uso de diversas capas de seguridad:
¿Cómo es un ataque de phishing?
Los ciberdelincuentes se esfuerzan por hacer que los correos electrónicos de phishing parezcan legítimos. Como resultado, los phishing scams son cada vez más sofisticadas y a menudo se dirigen a personas y empresas específicas. Una campaña de phishing dirigida se denomina spear phishing. Esta forma de phishing implica la recopilación de inteligencia para adaptar los correos electrónicos de phishing que son difíciles de diferenciar de los auténticos.
Los empleados de todas las unidades de una empresa deben estar formados para detectar los signos reveladores del phishing. Las campañas de phishing a medida suelen utilizar marcas comerciales conocidas, como Microsoft Office 365, que se utilizan para ocultar hábilmente una estafa de phishing.
Las plataformas de simulación de phishing son una forma ideal de formar a los empleados para que detecten un intento de phishing. Además, las plataformas avanzadas de simulación de phishing como MetaPhish permiten a una empresa adaptar estas simulaciones en función de las funciones dentro de una organización, de modo que se puedan prevenir incluso los intentos de phishing con arpón.
Lea más detalles sobre el phishing en la Guía definitiva sobre phishing de MetaCompliance.
No haga clic en enlaces desconocidos
Los usuarios finales y los consumidores han sido entrenados por la experiencia de usuario inteligente y las tácticas de interfaz de usuario para hacer clic en los enlaces para hacer su vida en línea más manejable. Pero esto ha llevado a los ciberdelincuentes a aprovecharse de este comportamiento.
Hay que interceptar el impulso de hacer clic para evitar un ciberataque. Una simple regla puede distinguir entre prevenir un ciberataque y ser una estadística de ciberseguridad: "no haga clic en un enlace de un correo electrónico a menos que esté 100% seguro de que es válido". Si un correo electrónico o un mensaje de texto contiene un enlace, detente siempre y piensa antes de hacer clic.
Más información en el artículo ¿Qué hacer si hace clic en un enlace de phishing?
No descargue archivos adjuntos no verificados
No hace falta decirlo, pero sigue ocurriendo: los empleados abren un archivo adjunto y su organización se infecta con malware. No descargue un archivo adjunto si no está 100% seguro de que es legítimo.
Un reciente ataque de phishing demuestra la sofisticación de los ataques que utilizan archivos adjuntos infectados. La campaña de phishing SVCReady utiliza un tipo particular de propiedad inherente a un documento de Microsoft Word, conocido como shellcode, para entregar un cargador en una máquina. La máquina infectada se utiliza entonces para recopilar información sensible, establecer un centro de control remoto y, en general, permanecer hasta que el atacante decida entrar a matar, instalar más malware y/o robar datos.
No compartas en exceso en las redes sociales
Los ciberdelincuentes recopilan información sobre su objetivo para que sus ataques de phishing estén adaptados y tengan más posibilidades de engañar a los destinatarios. Las redes sociales son un estanque ideal para la suplantación de información. Los ciberdelincuentes investigarán la empresa y sus empleados, en busca de información que pueda utilizarse para crear campañas de spear phishing.
Las redes sociales también son un lugar en el que compartir excesivamente las contraseñas puede dar lugar a que se compartan. Por ejemplo, un informe identificó el intercambio generalizado de contraseñas en canales de colaboración inseguros como Slack. Asegúrese de que sus empleados conozcan los peligros de facilitar datos privados y contraseñas en canales como Slack, discordia y plataformas de redes sociales.
Ser consciente de la higiene de contraseñas
Compartir y reutilizar contraseñas aumenta las posibilidades de que una campaña de phishing acabe con datos y sistemas informáticos comprometidos. El uso compartido de contraseñas es un problema grave en las organizaciones. Según una encuesta de Google, el 62% de las personas reutiliza contraseñas, y el 52% reutiliza contraseñas para acceder a varias cuentas.
Además, el 34% de los empleados comparten sus contraseñas con sus compañeros de trabajo. Si las contraseñas se "pasan" y se reutilizan, es menos probable que la gente vea el valor de la seguridad y, por lo tanto, tenga una actitud más laissez-faire hacia la seguridad de las contraseñas. Convierta la higiene de las contraseñas en un tema central de la formación en materia de seguridad.
Parche en el tiempo
Las campañas de phishing por correo electrónico suelen depender de una vulnerabilidad de seguridad explotable. Por ejemplo, el ataque de phishing a Zimbra de 2021 explotó las vulnerabilidades del cliente de correo electrónico Zimbra a través de un correo electrónico de phishing. Por lo tanto, asegurarse de que las aplicaciones de software sean parcheadas lo antes posible es vital para las medidas antiphishing en curso.
Mantener las cuentas al día
Las cuentas online antiguas son útiles para los ciberdelincuentes, que pueden utilizarlas para crear identidades sintéticas y cometer fraudes. Estas cuentas también pueden ser utilizadas como parte de una estafa BEC o para extraer información de inteligencia para otros ciberataques.
Si tiene una cuenta de correo electrónico o en línea antigua que no utiliza nunca, cierre la cuenta o restablezca su uso y contrólela regularmente. Asegúrese de cambiar la contraseña con frecuencia y compruebe HaveIBeenPwnd para ver si una cuenta de correo electrónico o una contraseña han quedado expuestas durante una violación de datos.
Utilice 2FA o MFA (pero tenga cuidado)
Una práctica recomendada para ayudar a protegerse contra los phishing scams es aplicar un segundo factor (2FA) o la autenticación multifactor (MFA) siempre que esta medida sea compatible. Sin embargo, 2FA o MFA no garantizan que un ataque de phishing no tenga éxito, solo reducen el riesgo.
Las medidas 2FA o MFA mal aplicadas, por ejemplo, pueden ser inútiles para prevenir los ataques de phishing. Utiliza 2FA o MFA, pero apóyalo con una formación de concienciación sobre seguridad.
Informar de cualquier cosa sospechosa
Anime a los empleados a informar de un correo electrónico o texto sospechoso para ayudar a evitar que se produzca un incidente. Cree un entorno que fomente la cooperación en materia de seguridad. Mantenga una puerta abierta y una mente abierta sobre los empleados que hacen clic en un enlace malicioso, dándoles el espacio para que sientan que pueden informar de un error.
La notificación de incidentes ayudará a proteger a su organización contra las estafas de phishing, pero la notificación debe ser fácil y basarse en un sistema de notificación avanzado diseñado para escalar y proporcionar opciones de triaje.
Considerar el uso de herramientas anti-phishing
La formación sobre concienciación en materia de seguridad forma parte de un conjunto más amplio de medidas que pueden utilizarse para protegerse contra los phishing scams. Otras medidas que pueden emplearse y que añaden capas de protección son: Software de filtrado DNS que ayuda a evitar que un empleado navegue a un sitio web malicioso; y un filtro de spam de correo electrónico basado en la nube que puede evitar que los correos electrónicos de phishing entren en la bandeja de entrada de un empleado.
Sin embargo, estas medidas de seguridad por sí solas no son suficientes. Los ciberdelincuentes que desarrollan correos electrónicos de phishing están diseñando cada vez más los correos electrónicos para evadir la detección. Sólo mediante el uso de métodos de múltiples capas, incluyendo el conocimiento de sus empleados sobre el phishing, puede una organización protegerse contra los phishing scams.