¿Qué son las estafas de phishing?

Las estafas de phishing, una táctica engañosa, son utilizadas habitualmente por los ciberdelincuentes para llevar a cabo actividades nefastas. La mayoría de la gente se ha encontrado alguna vez con un correo electrónico de phishing. A pesar de su prevalencia, los ciberdelincuentes siguen utilizando este método para instalar malware, robar credenciales y cometer estafas, entre las que se incluye el Business Email Compromise (BEC).

Un informe de CISCO de 2021 sobre las tendencias de las amenazas a la ciberseguridad sitúa el phishing y la minería de criptomonedas como las dos principales amenazas para las empresas. El informe también revela que el 86% de los empleados de las organizaciones hacen clic en enlaces de phishing.

Protegerse contra las estafas de phishing es vital para mantener a salvo su organización, ya que el 90% de las violaciones de datos tienen su origen en ataques de phishing.

He aquí 10 formas de garantizar que su organización no sea víctima de una estafa de phishing.

10 formas de prevenir las estafas de phishing

La protección contra las estafas de phishing consiste en utilizar varias capas de protección:

Aprenda cómo es un ataque de phishing

Los ciberdelincuentes trabajan duro para que los correos electrónicos de phishing parezcan legítimos. Como resultado, las estafas de phishing son cada vez más sofisticadas y a menudo se dirigen a personas y empresas concretas. Una campaña de phishing dirigido se denomina spear phishing. Esta forma de phishing implica la recopilación de inteligencia para confeccionar correos electrónicos de phishing difíciles de diferenciar de los auténticos.

Los empleados de todas las unidades de una empresa deben recibir formación para detectar los signos reveladores del phishing. Las campañas de phishing a medida suelen utilizar marcas empresariales conocidas, como Microsoft Office 365, que se emplean para ocultar hábilmente una estafa de phishing.

Las plataformas de simulación de phishing son una forma ideal de formar a los empleados para que detecten un intento de phishing. Además, las plataformas avanzadas de simulación de phishing, como MetaPhish, permiten a una empresa adaptar estas simulaciones en función de las funciones dentro de una organización, de modo que se puedan prevenir incluso los intentos de phishing con arpón.

Lea más detalles sobre el phishing en la Guía definitiva sobre el phishing de MetaCompliance.

No haga clic en enlaces desconocidos

Los usuarios finales y los consumidores han sido entrenados por la experiencia de usuario inteligente y las tácticas de interfaz de usuario para hacer clic en los enlaces para hacer su vida en línea más manejable. Pero esto ha llevado a los ciberdelincuentes a aprovecharse de este comportamiento.

Es necesario interceptar el impulso de hacer clic para prevenir un ciberataque. Una simple regla puede distinguir entre prevenir un ciberataque y ser una estadística de ciberseguridad: «no haga clic en un enlace de un correo electrónico a menos que esté 100% seguro de que es válido». Si un correo electrónico o un mensaje de texto contiene un enlace, deténgase siempre y piense antes de hacer clic.

Obtenga más información en el artículo ¿Qué hacer si pincha en un enlace de phishing?

No descargue archivos adjuntos no verificados

No hace falta decirlo, pero sigue ocurriendo; los empleados abren un archivo adjunto y su organización se infecta con malware. No descargue un archivo adjunto si no está 100% seguro de que es legítimo.

Un reciente ataque de phishing demuestra la sofisticación de los ataques que utilizan archivos adjuntos infectados. La campaña de phishing SVCReady utiliza un tipo particular de propiedad inherente a un documento de Microsoft Word, conocida como shellcode, para introducir un cargador en una máquina. La máquina infectada se utiliza entonces para recopilar información confidencial, establecer un centro de control remoto y, en general, merodear hasta que el atacante decide entrar a matar, instalar más malware y/o robar datos.

No comparta más de la cuenta en las redes sociales

Los ciberdelincuentes recopilan información sobre su objetivo para que sus ataques de phishing estén adaptados y tengan más probabilidades de engañar a los destinatarios. Las redes sociales son un estanque ideal para pescar información. Los ciberdelincuentes investigarán sobre la empresa y sus empleados, en busca de información que puedan utilizar para crear campañas de phishing dirigido.

Las redes sociales también son un lugar donde compartir en exceso puede dar lugar a compartir contraseñas. Por ejemplo, un informe identificó un intercambio generalizado de contraseñas en canales de colaboración inseguros como Slack. Asegúrese de que sus empleados conocen los peligros de facilitar datos privados y contraseñas en canales como Slack, discordia y plataformas de medios sociales.

Sea consciente de la higiene de las contraseñas

El uso compartido y la reutilización de contraseñas aumentan las posibilidades de que una campaña de phishing termine con datos y sistemas informáticos comprometidos. El uso compartido de contraseñas es un problema grave en las organizaciones. Según una encuesta de Google, el 62% de las personas reutiliza contraseñas y el 52% reutiliza contraseñas para acceder a varias cuentas.

Además, el 34% de los empleados comparte sus contraseñas con compañeros de trabajo. Si las contraseñas se «pasan de mano en mano» y se reutilizan, es menos probable que la gente vea el valor de la seguridad y, por lo tanto, tenga una actitud más laissez-faire hacia la seguridad de las contraseñas. Convierta la higiene de las contraseñas en un tema central de la formación sobre concienciación en materia de seguridad.

Parche en el tiempo

Las campañas de phishing por correo electrónico suelen depender de una vulnerabilidad de seguridad explotable. Por ejemplo, el ataque de phishing a Zimbra de 2021 explotó vulnerabilidades en el cliente de correo electrónico Zimbra a través de un correo electrónico de phishing. Por lo tanto, asegurarse de que las aplicaciones de software se parchean lo antes posible es vital para las medidas antiphishing en curso.

Mantener las cuentas al día

Las cuentas en línea antiguas son útiles para los ciberdelincuentes, que pueden utilizarlas para crear identidades sintéticas y cometer fraudes. Estas cuentas también pueden utilizarse como parte de una estafa BEC o para extraer información para futuros ciberataques.

Si tiene una cuenta de correo electrónico o en línea antigua que nunca utiliza, cierre la cuenta o restablezca su uso y contrólela con regularidad. Asegúrese de cambiar la contraseña con frecuencia y compruebe HaveIBeenPwnd para ver si una cuenta de correo electrónico o contraseña ha quedado expuesta durante una violación de datos.

Utilice 2FA o MFA (pero tenga cuidado)

Una práctica recomendada para ayudar a protegerse contra las estafas de phishing es aplicar un segundo factor (2FA) o la autenticación multifactor (MFA) siempre que esta medida sea compatible. Sin embargo, 2FA o MFA no es garantía de que un ataque de phishing no tenga éxito, sólo de que reduce el riesgo.

Las medidas 2FA o MFA mal aplicadas, por ejemplo, pueden ser inútiles para prevenir los ataques de phishing. Utilice 2FA o MFA, pero respáldelo con una formación de concienciación sobre seguridad.

Informe de cualquier sospecha

Anime a los empleados a informar de un correo electrónico o un mensaje de texto sospechoso para ayudar a evitar que se produzca un incidente. Cree un entorno que fomente la cooperación en materia de seguridad. Mantenga una puerta abierta y una mente abierta sobre los empleados que hagan clic en un enlace malicioso, dándoles el espacio para que sientan que pueden informar de un error.

La notificación de incidentes ayudará a proteger a su organización contra las estafas de phishing, pero la notificación debe ser fácil y basarse en un sistema de notificación avanzado diseñado para escalar y proporcionar opciones de triaje.

Considere la posibilidad de utilizar herramientas antiphishing

La formación sobre concienciación en materia de seguridad forma parte de un conjunto más amplio de medidas que pueden utilizarse para protegerse contra las estafas de phishing. Otras medidas que pueden emplearse y que añaden capas de protección son: Software de filtrado DNS que ayuda a evitar que un empleado navegue a un sitio web malicioso; y un filtro de spam de correo electrónico basado en la nube que puede impedir que los correos electrónicos de phishing entren en la bandeja de entrada de un empleado.

Sin embargo, estas medidas de seguridad no bastan por sí solas. Los ciberdelincuentes que desarrollan correos electrónicos de phishing los diseñan cada vez más para eludir la detección. Sólo mediante el uso de métodos de múltiples capas, incluyendo el conocimiento de sus empleados sobre el phishing, puede una organización protegerse contra las estafas de phishing.

[faq_posts]