Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Carreras

Únase a nosotros y personalice la ciberseguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Cómo detectar los correos electrónicos de phishing: Reconocimiento de palabras y terminología comunes

Cómo detectar un phishing email: palabras y terminología

sobre el autor

Compartir esta entrada

Saber detectar un phishing email es crucial en el panorama digital actual, ya que los ciberdelincuentes se rebajan a los niveles más bajos para llevar a cabo sus ataques. Por ejemplo, en las últimas semanas se han visto campañas masivas de phishing dirigidas a los militares ucranianos y sus familias. Del mismo modo, cuando la pandemia del virus Covid-19 se extendió por todo el mundo, los phishers se aprovecharon de la situación para inundar a la gente con mensajes de spam. A pesar de que los temas varían, estas campañas suelen emplear palabras y frases comunes destinadas a engañar a las personas para que ayuden a los estafadores sin darse cuenta.

Sin embargo, lo que tienen en común las campañas de phishing es el lenguaje que se utiliza para engañar a las personas para que cumplan las órdenes del estafador. Los temas pueden ser diferentes, pero se utilizan palabras y frases comunes en todas las campañas de correo electrónico de phishing.

El lenguaje de los correos de phishing y la "acción espontánea"

A la hora de educar a cualquier persona sobre las estafas de phishing, es importante aprender el lenguaje del phisher. Los ataques de phishing se basan en la comunicación como vehículo para montar una estafa. Como tal, el o los estafadores detrás del correo electrónico de phishing configurarán el contenido del correo electrónico para animar al destinatario a realizar ciertas acciones.

Se trata de un truco psicológico que requiere una conexión emocional con el destinatario y el contenido del correo electrónico. El lenguaje y la emoción son motores bien conocidos del comportamiento. Tomemos como ejemplo los proverbios: "Keep Calm and Carry On" fue uno de los tres refranes similares creados como campaña por el Ministerio de Información (MOI ) en 1939 en caso de guerra para "equilibrar una 'influencia estabilizadora' con una incitación a la acción 'espontánea'".

El lenguaje es importante: esta verdad universal sobre el comportamiento humano no pasa desapercibida para los estafadores, que la utilizan en sus campañas de correo electrónico de phishing para incitar su versión de "acción espontánea".

Cómo detectar los phishing correos: Terminología del correo de phishing

Saber cómo detectar los correos electrónicos de phishing es crucial para protegerse en Internet. Antes de profundizar en la utilización de las palabras más comunes que aparecen en los correos electrónicos de phishing, es esencial comprender la terminología del phishing. Este léxico sirve para clasificar los distintos tipos de tácticas de phishing por correo electrónico. Entre las más frecuentes se encuentran:

Spear-phishing: campañas de correo electrónico fraudulentas dirigidas que se diseñan a partir de la vigilancia y la inteligencia llevada a cabo en la organización objetivo. Esto ayuda a desarrollar correos electrónicos muy creíbles; la redacción suele ser específica y utiliza el nombre de pila del objetivo para atraer y desarrollar la confianza.

Estos correos electrónicos suelen centrarse en personas con acceso privilegiado a los recursos, como los administradores de sistemas. Las palabras comunes utilizadas se dirigirán a esa persona específica dentro de su función privilegiada y normalmente utilizarán la emoción, como la urgencia.

Campañas de phishing por correo electrónico: campañas de phishing más generalizadas que envían correos electrónicos maliciosos para engañar a los usuarios/empleados en general para que divulguen información personal, incluyendo nombres de usuario, números de teléfono e información de tarjetas de crédito. Los correos electrónicos utilizan palabras y contextos comunes, como la urgencia, para engañar al destinatario para que haga clic en un enlace malicioso o descargue un archivo adjunto infectado. El enlace suele llevar a un sitio web falso o a una aplicación en línea que intenta robar las credenciales de acceso o los datos personales.

Business Email Compromise (BEC): suele utilizar correos electrónicos de spear-phishing para iniciar el ataque que termina con la transferencia de dinero de la empresa a la cuenta bancaria de un ciberdelincuente.

Contexto y palabras comunes en los phishing correos

Varias organizaciones estudian el tipo de palabras y tácticas comunes utilizadas en las campañas de phishing por correo electrónico. Una de ellas es el Grupo de Trabajo Anti-Phishing (APWG). El APWG vigila los tipos de actividad de phishing que se producen en todo el mundo. Además de rastrear las marcas populares que son suplantadas y los registros de dominios de sitios web de phishing, el grupo también examina las tendencias en los temas de los correos de phishing.

Un documento de investigación del APWG analizó los temas comunes, las URL falsas y las palabras clave utilizadas en las campañas de phishing por correo electrónico durante la pandemia de Covid-19 y eventos relacionados. Los investigadores descubrieron que una frase común utilizada en los phishing correos relacionados con la pandemia era "caduca en 2 días", utilizada para fomentar una sensación de urgencia.

El documento concluye: "A partir de nuestra profunda inmersión en el contenido de los sitios web de phishing relacionados con la corona, observamos la importancia de los factores humanos y cómo los atacantes explotan los deseos y necesidades de los individuos impulsados por la pandemia. Por lo tanto, es fundamental educar rápidamente a las personas para que comprendan mejor los ataques de ingeniería social, de modo que puedan protegerse cuando las mitigaciones técnicas no lo consigan."

Los investigadores también han identificado las palabras más comunes utilizadas en los correos electrónicos de phishing. Por ejemplo, las cinco primeras según un informe centrado en Estados Unidos son:

  1. Etiqueta
  2. Factura
  3. Publicar

Podría decirse que estas palabras son comunes tanto en los correos electrónicos legítimos como en los ilegítimos. Tanto la investigación del APWG como la de las palabras más comunes llevaron a la conclusión de que las palabras MÁS el contexto son importantes en la formación de concienciación sobre seguridad.

Contexto y temas comunes en los correos de phishing

Los correos electrónicos de spam dependen del contexto y de los temas comunes, así como de la redacción. Algunos de los temas más comunes son:

Urgencia, por ejemplo, "La contraseña de su cuenta ha caducado, actualice su contraseña ahora para mantener el acceso a Office 365"

Miedo a perderse (FOMO), por ejemplo, "no te pierdas esta oferta única en la vida...": Las investigaciones han demostrado que el FOMO puede ser muy eficaz en las campañas de phishing por correo electrónico.

Emoción, por ejemplo, "le hemos grabado mientras utilizaba un sitio web porno..." esta táctica se utiliza a menudo en las campañas de phishing de explotación sexual

Autoridad (y urgencia), por ejemplo: "John, ¿puedes procesar urgentemente esta transferencia a nuestro último proveedor? Si no lo haces hoy, perderemos un gran pedido "; el correo electrónico suele estar firmado por el director general. En una empresa, las personas con autoridad pueden tener sus direcciones de correo electrónico suplantadas para llevar a cabo ataques de Business Email Compromise y spear-phishing.

Cómo detectar los phishing correos: Algunos ejemplos de palabras comunes utilizadas en los correos electrónicos de phishing

La investigación y la experiencia han demostrado que ciertas palabras comunes se utilizan en las estafas de phishing en todas las campañas, lo que indica cómo detectar los correos de phishing. Algunas de las palabras clave de phishing más comunes son:

Ejemplos de asuntos de mensajes:

  • Urgente
  • Se requiere verificación.
  • Factura
  • ¡Necesito ayuda urgente!
  • Actividad sospechosa de Outlook
  • ¡Importante! Su contraseña está a punto de expirar
  • Acción requerida...

Ejemplos de contenido del cuerpo:

  • Se ha identificado una vulnerabilidad en [nombre de la aplicación aquí].
  • Para realizar la verificación, haga clic en el enlace [un enlace directo o un botón de hipervínculo].
  • Aquí está la nueva factura de las actividades de esta semana [pulse para acceder, nombre de la app]
  • [Un mensaje falso del servicio técnico] Por favor, haga clic aquí para instalar la última [nombre de la aplicación]
  • Su cuenta de [nombre de la aplicación] ha sido bloqueada por razones de seguridad, haga clic aquí para desbloquear su cuenta [un enlace directo o un botón de hipervínculo].

Los acontecimientos actuales pueden ajustar algunos de los términos utilizados en la línea de asunto o el contenido del cuerpo de un correo electrónico de phishing, pero el tono y las palabras clave comunes serán probablemente similares o iguales.

¿Cómo detectar los correos de phishing? Mantenga la calma y siga adelante

Educar a sus empleados sobre las palabras comunes utilizadas en los correos electrónicos de phishing, así como comprender las diferentes terminologías de los ataques de phishing, es crucial para ayudarles a identificar un correo electrónico falso antes de que hagan clic en un enlace malicioso o descarguen un archivo adjunto infectado. Reconocer que el lenguaje de los mensajes de spam suele girar en torno a temas comunes y palabras relacionadas es clave en este proceso de aprender a detectar los mensajes de phishing. Este conocimiento sirve de talón de Aquiles para los estafadores, y permite a las personas mantenerse alerta y protegerse contra las ciberamenazas.

 

Riesgo de ransomware

Preguntas frecuentes sobre la formación en concienciación sobre seguridad para empleados

¿Por qué es esencial incluir la formación en phishing en la estrategia de seguridad de una empresa?

Incorporar la formación en phishing para usuarios finales en la estrategia de seguridad de una empresa es esencial porque el error humano sigue siendo una vulnerabilidad significativa en la ciberseguridad. Los ataques de phishing a menudo explotan tácticas de ingeniería social, dirigiéndose a los empleados que pueden no estar al tanto de las amenazas más recientes. Al proporcionar educación en concienciación de seguridad, las organizaciones pueden dotar a su personal con el conocimiento necesario para identificar y responder eficazmente a los intentos de phishing. Este enfoque proactivo no sólo ayuda a prevenir las brechas de datos, sino que también refuerza la postura de seguridad general de la empresa. Educar a los empleados sobre cómo reconocer y manejar los intentos de phishing mitiga el riesgo de credenciales comprometidas e información sensible, garantizando una defensa más robusta contra las amenazas cibernéticas.

¿Cómo puedo personalizar la formación sobre phishing para adaptarla a las necesidades específicas de mi organización?

Personalizar la formación en security awareness sobre phishing para las necesidades específicas de tu organización implica adaptar el contenido y el enfoque para abordar los desafíos y riesgos únicos que enfrenta tu empresa. Comienza evaluando las amenazas de phishing particulares relevantes para tu industria y organización. Incorpora ejemplos y escenarios reales que reflejen los intentos de phishing comunes que tus empleados podrían encontrar. También puedes utilizar datos de incidentes de phishing anteriores o simulaciones para destacar áreas donde tu personal pueda necesitar apoyo adicional. Al personalizar la formación con ejemplos, escenarios y contextos relevantes para tu negocio, aseguras que la educación sea práctica y directamente aplicable, aumentando su efectividad en la prevención de ataques de phishing.

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes