El phishing es un método insidioso y cínico utilizado para promover las actividades nefastas de los ciberdelincuentes. Rara es la persona que no se ha encontrado con un correo electrónico de phishing de una u otra forma. Sin embargo, los ciberdelincuentes siguen utilizando esta técnica para instalar malware, robar credenciales e información personal y cometer estafas como el Business Email Compromise (BEC).
Un informe de CISCO sobre las tendencias de las amenazas de ciberseguridad en 2021 sitúa el phishing y la criptominería como las dos principales amenazas para las empresas. El informe también revela que el 86% de los empleados de las organizaciones hacen clic en enlaces de phishing.
Protegerse contra las estafas de phishing es vital para mantener la seguridad de su organización, ya que el 90% de las violaciones de datos se originan en ataques de phishing.
He aquí 10 maneras de garantizar que su organización no sea víctima de una estafa de phishing.
10 formas de prevenir las estafas de phishing
La protección contra las estafas de phishing consiste en utilizar varias capas de protección:
Aprenda cómo es un ataque de phishing
Los ciberdelincuentes se esfuerzan por hacer que los correos electrónicos de phishing parezcan legítimos. Como resultado, las estafas de phishing son cada vez más sofisticadas y a menudo se dirigen a personas y empresas específicas. Una campaña de phishing dirigida se denomina spear phishing. Esta forma de phishing implica la recopilación de inteligencia para adaptar los correos electrónicos de phishing que son difíciles de diferenciar de los auténticos.
Los empleados de todas las unidades de una empresa deben estar formados para detectar los signos reveladores del phishing. Las campañas de phishing a medida suelen utilizar marcas comerciales conocidas, como Microsoft Office 365, que se utilizan para ocultar hábilmente una estafa de phishing.
Las plataformas de simulación de phishing son una forma ideal de formar a los empleados para que detecten un intento de phishing. Además, las plataformas avanzadas de simulación de phishing permiten a una empresa adaptar estas simulaciones en función de las funciones dentro de una organización, de modo que incluso se pueden prevenir los intentos de phishing con arpón.
Lea más detalles sobre el phishing en la Guía definitiva sobre el phishing de MetaCompliance
No haga clic en enlaces desconocidos
Los usuarios finales y los consumidores han sido entrenados por la experiencia de usuario inteligente y las tácticas de interfaz de usuario para hacer clic en los enlaces para hacer su vida en línea más manejable. Pero esto ha llevado a los ciberdelincuentes a explotar este comportamiento.
Hay que interceptar el impulso de hacer clic para evitar un ciberataque. Una simple regla puede distinguir entre prevenir un ciberataque y ser una estadística de ciberseguridad: "no haga clic en un enlace de un correo electrónico a menos que esté 100% seguro de que es válido". Si un correo electrónico o un mensaje de texto contiene un enlace, detente siempre y piensa antes de hacer clic.
No descargue archivos adjuntos no verificados
No hace falta decirlo, pero sigue ocurriendo: los empleados abren un archivo adjunto y su organización se infecta con malware. No descargue un archivo adjunto si no está 100% seguro de que es legítimo.
Un reciente ataque de phishing demuestra la sofisticación de los ataques que utilizan archivos adjuntos infectados. La campaña de phishing SVCReady utiliza un tipo particular de propiedad inherente a un documento de Microsoft Word, conocido como shellcode, para entregar un cargador en una máquina. La máquina infectada se utiliza entonces para recopilar información sensible, establecer un centro de control remoto y, en general, permanecer hasta que el atacante decida entrar a matar, instalar más malware y/o robar datos.
No compartas en exceso en las redes sociales
Los ciberdelincuentes recopilan información sobre su objetivo para que sus ataques de phishing estén adaptados y tengan más posibilidades de engañar a los destinatarios. Las redes sociales son un estanque ideal para la suplantación de información. Los ciberdelincuentes investigarán la empresa y sus empleados, en busca de información que pueda utilizarse para crear campañas de spear phishing.
Las redes sociales también son un lugar en el que compartir excesivamente las contraseñas puede dar lugar a que se compartan. Por ejemplo, un informe identificó el intercambio generalizado de contraseñas en canales de colaboración inseguros como Slack. Asegúrese de que sus empleados conozcan los peligros de facilitar datos privados y contraseñas en canales como Slack, discordia y plataformas de redes sociales.
Sea consciente de la higiene de las contraseñas
Compartir y reutilizar las contraseñas aumenta las posibilidades de que una campaña de phishing termine con datos y sistemas informáticos comprometidos. El uso compartido de contraseñas es un problema grave en las organizaciones. Según una encuesta de Google, el 62% de las personas reutiliza las contraseñas y el 52% las reutiliza para acceder a varias cuentas.
Además, el 34% de los empleados comparten sus contraseñas con sus compañeros de trabajo. Si las contraseñas se "pasan" y se reutilizan, es menos probable que la gente vea el valor de la seguridad y, por lo tanto, tenga una actitud más laissez-faire hacia la seguridad de las contraseñas. Convierta la higiene de las contraseñas en un tema central de la formación en materia de seguridad.
Parche en el tiempo
Las campañas de phishing por correo electrónico suelen depender de una vulnerabilidad de seguridad explotable. Por ejemplo, el ataque de phishing a Zimbra de 2021 explotó las vulnerabilidades del cliente de correo electrónico Zimbra a través de un correo electrónico de phishing. Por lo tanto, asegurarse de que las aplicaciones de software sean parcheadas lo antes posible es vital para las medidas antiphishing en curso.
Mantener las cuentas al día
Las cuentas online antiguas son útiles para los ciberdelincuentes, que pueden utilizarlas para crear identidades sintéticas y cometer fraudes. Estas cuentas también pueden ser utilizadas como parte de una estafa BEC o para extraer información de inteligencia para otros ciberataques.
Si tiene una cuenta de correo electrónico o en línea antigua que no utiliza nunca, cierre la cuenta o restablezca su uso y contrólela regularmente. Asegúrese de cambiar la contraseña con frecuencia y compruebe HaveIBeenPwnd para ver si una cuenta de correo electrónico o una contraseña han quedado expuestas durante una violación de datos.
Utiliza la 2FA (pero ten cuidado)
Una de las mejores prácticas para ayudar a protegerse contra las estafas de phishing es aplicar un segundo factor (2FA) siempre que esta medida sea compatible. Sin embargo, el 2FA no garantiza que un ataque de phishing no tenga éxito, solo que reduce el riesgo.
Las medidas 2FA mal aplicadas, por ejemplo, pueden ser inútiles para evitar los ataques de phishing. Utiliza la 2FA, pero respáldala con una formación de concienciación sobre la seguridad.
Informar de cualquier cosa sospechosa
Anime a los empleados a informar de un correo electrónico o texto sospechoso para ayudar a evitar que se produzca un incidente. Cree un entorno que fomente la cooperación en materia de seguridad. Mantenga una puerta abierta y una mente abierta sobre los empleados que hacen clic en un enlace malicioso, dándoles el espacio para que sientan que pueden informar de un error.
La notificación de incidentes ayudará a proteger a su organización contra las estafas de phishing, pero la notificación debe ser fácil y basarse en un sistema de notificación avanzado diseñado para escalar y proporcionar opciones de triaje.
Considere la posibilidad de utilizar herramientas contra la suplantación de identidad
La formación para la concienciación sobre la seguridad forma parte de un conjunto más amplio de medidas que pueden utilizarse para protegerse contra las estafas de phishing. Otras medidas que pueden emplearse y que añaden capas de protección son Software de filtrado de DNS que ayuda a evitar que un empleado navegue a un sitio web malicioso; y un filtro de correo electrónico basado en la nube que puede impedir que los correos electrónicos de phishing entren en la bandeja de entrada de un empleado.
Sin embargo, estas medidas de seguridad por sí solas no son suficientes. Los ciberdelincuentes que desarrollan correos electrónicos de phishing están diseñando cada vez más los correos electrónicos para evadir la detección. Sólo mediante el uso de métodos de múltiples capas, incluyendo el conocimiento de sus empleados sobre el phishing, puede una organización protegerse contra las estafas de phishing.
