No podemos sobrestimar la importancia de la educación cuando se trata de mejorar nuestra conciencia sobre el phishing y otras amenazas a la seguridad digital. Por este motivo, en un artículo reciente hablé de algunos consejos para ayudar a los usuarios a detectar una estafa de phishing. También mencionamos algunas de las mejores soluciones contra el phishing.
Saber a qué atenerse en un ataque de phishing es importante. Pero eso es sólo la mitad de la batalla. Los usuarios también deben tomar medidas concretas para disuadir a los phishers y mantener su información a salvo.
Reconociendo este hecho, aquí hay 10 maneras de protegerte a ti y a tu ordenador contra un phishing exitoso.
10 consejos de ciberseguridad
- Que no cunda el pánico
Los phishers suelen incorporar amenazas y un sentido de urgencia en sus correos electrónicos de ataque. Hay un propósito para hacerlo. Como seres humanos, saben que tomamos algunas de nuestras peores decisiones cuando tenemos pánico y no pensamos con claridad. Puede que incluso nos permitamos hacer clic en un enlace sospechoso o perder parte de nuestra información personal sensible.
Dicho esto, trate de mantener la calma si recibe un correo electrónico amenazante o alarmante. Así podrá tomar decisiones informadas y evitar ser víctima de una estafa de phishing.
- Introduzca información sensible sólo en sitios web seguros
La mayoría de los ataques de phishing solicitan a los usuarios que envíen su información personal, ya sea por correo electrónico o introduciéndola en un formulario de acceso falso en un sitio web malicioso. Para protegerse de esta táctica, intente enviar su información personal sólo en sitios web seguros. Como mínimo, esos sitios web deben tener una política de privacidad escrita que describa cómo van a utilizar/almacenar su información personal. También pueden tener un certificado firmado para HTTPS, que ayudará a proteger la privacidad e integridad de cualquier dato que intercambies con ellos.
- Familiarícese con la política de privacidad de un sitio web antes de registrarse
El hecho de que un sitio web utilice HTTPS no significa necesariamente que deba compartir su información personal con él. Algunos sitios web venden su dirección de correo electrónico y otros datos de contacto a terceros. Esos compradores podrían, a su vez, vender tus datos a personas no fiables que podrían guardar tu información y dirigirla a futuros ataques de phishing.
Vaya sobre seguro. Antes de compartir tu información con un sitio web, revisa la política de privacidad del sitio y asegúrate de que estás de acuerdo con sus términos y condiciones.
- Pase el ratón por encima de las URL sospechosas antes de hacer clic en ellas
A los atacantes les gusta engañar a sus objetivos para que hagan clic en una URL aparentemente benigna que en realidad conduce a un dominio malicioso. Afortunadamente, los usuarios pueden desenmascarar fácilmente esa artimaña pasando el ratón por encima de una URL sospechosa. ¿Se enlaza con lo que dice el texto? Si no es así, puede estar seguro de que el verdadero destino de la URL es de naturaleza maliciosa.
- Tenga cuidado con los enlaces acortados
No todas las URLs muestran la ubicación real de los enlaces cuando se pasa por encima de ellas. Por ejemplo, las URLs acortadas. Servicios como bit.ly y tinyurl pueden ayudar a reducir el tamaño de la URL y a rastrear los enlaces. Sin embargo, una URL acortada no revela ninguna información sobre su destino real. Puede llevar a cualquier sitio, incluso a páginas de phishing.
Las organizaciones legítimas son conscientes de este escepticismo, por lo que generalmente no incorporan enlaces acortados en ninguna correspondencia comercial. En consecuencia, si recibe un correo electrónico con enlaces acortados de una organización, piénselo dos veces antes de hacer clic en ellos.
- Instale una solución antivirus en su ordenador
Mientras que muchos ataques de phishing extraen las credenciales del usuario a través de un formulario de acceso falso, otros instalan malware en el ordenador del usuario y aprovechan los keyloggers para recopilar nombres de usuario, contraseñas y otra información sensible.
Para protegerse contra una infección de malware, instale una solución de software antiphishing en su ordenador y asegúrese de que está actualizada para que pueda detectar las últimas amenazas.
- Implemente las actualizaciones de los proveedores tan pronto como estén disponibles
Una de las formas en que los phishers introducen el malware en el ordenador de un usuario es a través de los kits de explotación, o kits de software que aprovechan las vulnerabilidades del software popular para infectar a los usuarios con programas maliciosos. Algunos de los kits de explotación más conocidos, como Angler, Neutrino y Magnitude, suelen colocar ransomware en ordenadores vulnerables. Estas variantes de cripto-malware cifran los archivos de los usuarios y exigen cientos, si no miles, de dólares de rescate por la clave de descifrado.
Los kits de explotación son más eficaces cuando se dirigen a ordenadores con vulnerabilidades de software conocidas. No se exponga a un ataque dejando este tipo de problemas sin parchear. Intente actualizar su sistema tan pronto como un proveedor publique una actualización de seguridad o un parche de software.
- Activar el contenido sólo en los documentos de fuentes de confianza
Otra forma de infectar a los usuarios con malware es a través de archivos adjuntos maliciosos en el correo electrónico. En particular, a los estafadores les gusta engañar a los usuarios para que abran un documento de Word aparentemente inocente que les pide que habiliten el contenido. Desgraciadamente, ese botón de "habilitar contenido" es en este tipo de correos un iframe malicioso. Al hacer clic en él, se inicia un descargador que pasa el malware al ordenador del usuario.
Los usuarios deben acercarse al botón "habilitar contenido" en los documentos de Office con cuidado. Sólo cuando sepan que el documento procede de una fuente de confianza deben hacer clic en el botón "habilitar contenido". Incluso entonces, es una buena idea ponerse en contacto con el remitente de antemano y confirmar que le han enviado un documento con algún contenido desactivado.
- Contactar con el remitente
Ponerse en contacto con el remitente no es sólo una buena manera de protegerse contra el contenido malicioso (macros). Es una buena manera de protegerse contra todo tipo de ataques de phishing.
Si recibes un correo electrónico sospechoso de un amigo, un familiar, una empresa o cualquier otra fuente de confianza que parezca sospechosa o fuera de lugar, ponte en contacto con ellos y confirma si realmente te han enviado el mensaje. Puede que te digan que sí, o que te revelen que han sido hackeados recientemente.
- En caso de duda, elimine el correo electrónico
Algunos correos electrónicos sospechosos no vienen con ninguna información de contacto utilizable sobre el remitente. Si ese es el caso, intenta investigar al remitente y ver si puedes encontrar alguna información sobre él. Si no puedes hacerlo, es mejor eliminar el correo electrónico y no correr ningún riesgo con la seguridad de tu ordenador.
Conclusión:
Al estudiar los consejos mencionados anteriormente, ahora ya sabe cómo protegerse contra una variedad de ataques de phishing.
Por desgracia, las estafas de phishing siempre están evolucionando e incorporando nuevas técnicas para dirigirse a los usuarios desprevenidos. Por lo tanto, es importante que usted y toda su empresa lleven a cabo ejercicios continuos contra el phishing para estar al tanto de los últimos ataques de este tipo. Eche también un vistazo a las mejores soluciones de software antiphishing para su propio ordenador.
Las organizaciones modernas dependen de su red digital para sobrevivir y operar en el mundo empresarial actual. La solución Metacompliance ayuda a afrontar el reto de la concienciación sobre la ciberseguridad, el phishing simulado, la gestión de incidentes, la gestión de políticas y la evaluación de conocimientos.
Metacompliance ha desarrollado una solución para ayudar a defender a la empresa mejorando la concienciación de los usuarios sobre los riesgos de ciberseguridad y cumplimiento de la normativa.
Simulación de phishing, gestión de incidentes, gestión de políticas y evaluación de conocimientos.
Metacompliance, proveedor de software de gestión de políticas y de formación para la concienciación de los usuarios, ofrece muchas soluciones listas para usar que permiten a las empresas agilizar la formación en materia de seguridad de sus empleados. Entre esos productos se encuentra MetaPhish is a, una solución de software diseñada específicamente para realizar simulaciones continuas de phishing para ayudar a aumentar la sensibilidad de sus empleados ante estos correos electrónicos fraudulentos.
Para saber más sobre MetaPhish y cómo puede proteger mejor su organización contra los ataques de phishing, haga clic aquí.
