Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Carreras

Únase a nosotros y personalice la ciberseguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Identificar y prevenir ataques de Spear Phishing

Identificar los ataques de spear phishing | MetaCompliance

sobre el autor

Compartir esta entrada

El spear phishing es una grave amenaza para las organizaciones de todo el mundo, pero este tipo de phishing altamente dirigido puede ser difícil de prevenir.

Un informe de la empresa de seguridad Ivanti pone de relieve la tasa de éxito del spear phishing: casi tres cuartas partes (73%) de las organizaciones declararon a Ivanti que el personal informático es objetivo del spear phishing, y casi la mitad de los intentos (47%) tienen éxito.

¿Qué es el Spear Phishing?

El spear phishing es una forma de phishing muy selectiva. Una campaña de phishing suele enviar un correo electrónico masivo a muchas personas, pero las campañas de spear phishing se centran en uno o unos pocos individuos; estos individuos suelen trabajar para una organización específica o están asociados a ella.

El spear phishing suele llegar por correo electrónico, pero también puede ser un phishing telefónico (Vishing) o por mensajes de móvil (SMShing).

El spear phishing utiliza tácticas avanzadas de ingeniería social para elaborar una campaña eficaz de spear phishing basada en la información recopilada sobre un objetivo. La información necesaria para perfeccionar un correo electrónico de spear phishing se recopila por cualquier medio, como publicaciones en redes sociales, sitios web de empresas, cuentas online pirateadas, etc.

Los ciberdelincuentes han llegado a entablar una relación con su objetivo a través del correo electrónico o el teléfono, ganándose la confianza del empleado y animándole a compartir sus datos personales o de la empresa. Una vez que el ciberdelincuente tiene suficiente información sobre el objetivo, crea un correo electrónico personalizado que parece legítimo.

El objetivo de un intento de spear phishing suele ser robar las credenciales de acceso. Estas credenciales pueden utilizarse para acceder a la red corporativa. El resultado de la ingeniería social de un empleado es una infección de malware, incluyendo ransomware, robo de datos, Business Email Compromise (BEC) y otras formas de ciberataque.

Aunque el uso de la autenticación multifactor (MFA) puede ayudar a reducir el riesgo de un ataque, no es una garantía: una reciente campaña de phishing dirigida a usuarios de Office 365 fue capaz de burlar cualquier MFA utilizado por los empleados.

Cómo utilizan los ciberdelincuentes los ataques de Spear Phishing

Los ciberdelincuentes utilizan el spear phishing para centrar un ataque en una empresa concreta. Estas campañas pueden dirigirse directamente (a un empleado) o indirectamente, es decir, centrarse en un proveedor de la cadena de suministro para atacar a una organización situada más arriba en la cadena de suministro.

A menudo, los ataques de spear phishing forman parte de un ciclo de ataques en el que se roban datos, incluidas las contraseñas, lo que lleva a la infección de malware, a un mayor robo de credenciales y al robo de datos. El proceso comienza con un correo electrónico, Vishing o SMShing. El spear phishing suele implicar una planificación estratégica de alto nivel, que puede requerir varios pasos coreografiados para lograr el objetivo del hacker.

Ejemplos de ataques de Spear Phishing

Spear Vishing: un ataque de spear phishing en Twitter en 2020 fue noticia cuando los hackers consiguieron enviar tuits desde varias cuentas de alto perfil, incluyendo a Joe Biden, Barack Obama, Bill Gates y Elon Musk. El ataque a Twitter se centró en una llamada telefónica de phishing (Vishing) a los empleados objetivo hasta que uno de ellos dio a los atacantes las credenciales de acceso a las herramientas internas. Estas credenciales se utilizaron entonces para escalar los privilegios a un nivel superior.

Correo electrónico de Spear Phishing: un correo electrónico de spear phishing se hizo pasar por el Departamento de Trabajo de Estados Unidos (DoL) para dirigirse a varias organizaciones. El objetivo del correo electrónico falso era robar las credenciales de inicio de sesión de Office 365. El correo electrónico se basaba en dominios hábilmente camuflados para que pareciera que procedía legítimamente del DoL.

Además, el correo electrónico se hacía pasar por un empleado de alto nivel del DoL que invitaba a la organización receptora a presentar una oferta para un proyecto gubernamental. Al hacer clic en el "botón de licitación", el empleado accedía a un sitio de phishing en el que se robaban las credenciales de acceso a Office 365.

Cómo detectar un correo electrónico de Spear Phishing

Estos correos electrónicos son notoriamente difíciles de detectar simplemente porque se ha invertido mucho trabajo en su creación. Sin embargo, hay algunos puntos a comprobar que pueden ayudar a los empleados a identificar las señales reveladoras.

  1. A menudo, los correos electrónicos de spear phishing aprovechan posiciones de autoridad, por ejemplo, el soporte de TI, para forzar una acción por parte de un empleado, por ejemplo, introducir una contraseña en una página web falsa. Compruebe la dirección de correo electrónico del remitente. Puede parecerse a la real, pero con algunas sutiles diferencias.
  2. ¿Coincide el formato del correo electrónico con lo que está acostumbrado? Por ejemplo, si el correo electrónico es supuestamente del servicio de asistencia técnica, ¿la forma en que está escrito y formateado refleja los correos electrónicos anteriores del servicio de asistencia técnica?
  3. ¿El correo electrónico requiere la introducción de demasiados datos o información que parece innecesaria? Por ejemplo, ¿se le pide que inicie sesión en una aplicación en la nube de la empresa después de hacer clic en un enlace de un correo electrónico sin ninguna razón convincente?

Otra cosa de baja tecnología que puedes hacer para ayudar a prevenir un incidente de spear phishing es volver a verificar con el supuesto remitente del correo electrónico: llámalo para comprobar que el correo electrónico realmente proviene de él.

Protegerse de un ataque de Spear Phishing

Las capas de protección son la mejor manera de hacer frente a la amenaza del spear phishing. Estas son las seis principales formas de protegerse a sí mismo y a su empresa de un ataque:

No compartas en exceso en las redes sociales

Los ciberdelincuentes obtienen la información necesaria para crear correos electrónicos creíbles de muchas fuentes, incluidas las redes sociales. Así que pon una política que explique los peligros de compartir datos en exceso en las redes sociales.

No haga clic en los enlaces sospechosos de los correos electrónicos de phishing

Esto debería convertirse en el mantra de todos los lugares de trabajo. Incluso si un empleado no introduce sus credenciales después de hacer clic en un enlace malicioso, el hacker probablemente tendrá una auditoría de quién ha hecho clic y continuará enviando correos electrónicos de phishing cada vez más sofisticados a esa organización.

Utilice una autenticación robusta

Aunque no es a prueba de fallos, contar con una autenticación sólida ayuda a adoptar un enfoque estratificado contra el phishing. Cree contraseñas fuertes y únicas y añada MFA cuando sea compatible.

No comparta nunca información sensible en línea

No hace falta decir que no se debe compartir información personal o corporativa sensible de forma pública y en línea, ya que se recopilará y se utilizará para suplantar a los empleados o a los proveedores de la cadena de suministro asociados.

Sea precavido y vigilante

Forme a todos los miembros del personal y asociados sobre las tácticas utilizadas por los ciberdelincuentes. Asegúrese de que esta formación se realiza con regularidad y utilice una plataforma de phishing simulado para enviar mensajes de phishing simulados a los empleados con mayor riesgo.

Anime a los empleados a notificar los incidentes

Una vez que haya formado al personal para detectar los signos reveladores del phishing, anime a los empleados a informar de los incidentes. Esto ayuda a crear una ciberresistencia, a mantener el cumplimiento de la normativa y ofrece la información necesaria para actuar rápidamente antes de que un incidente se convierta en un ciberataque en toda regla.

Riesgo de ransomware

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes