LA GUÍA DEFINITIVA PARA PHISHING

No dejes que tu personal muerda el anzuelo.

ugtp-hand

En el mundo actual, cada vez más digital, gran parte de lo que hacemos, ya sea por negocios o por placer, se lleva a cabo en línea. Este aumento de la actividad en línea ha dado lugar a una explosión masiva de la ciberdelincuencia.

La ciberdelincuencia se ha convertido en una poderosa herramienta para los delincuentes que buscan robar nuestros datos personales y extorsionar. La velocidad, el anonimato y la comodidad de Internet han permitido a los delincuentes lanzar ataques muy selectivos con muy poco esfuerzo.

Según un reciente informe de la empresa de ciberseguridad Norton, los ciberdelincuentes robaron un total de 130.000 millones de libras esterlinas a los consumidores en 2017, incluidos 4.600 millones de libras esterlinas a los internautas británicos.

El más exitoso y peligroso de todos los ciberataques es el phishing. Las investigaciones han descubierto que el 91% de los ciberataques comienzan con un correo electrónico de phishing.

El phishing sigue siendo la forma más común de ciberataque debido a su sencillez, eficacia y alto rendimiento. Ha evolucionado desde sus primeros días de engañar a la gente con estafas de príncipes nigerianos y solicitudes de tratamiento médico de emergencia. Los ataques de phishing que se producen hoy en día son sofisticados, dirigidos y cada vez más difíciles de detectar.

¿Qué es el phishing?

La guía definitiva sobre el phishingEn el mundo actual, cada vez más digital, gran parte de lo que hacemos, ya sea por negocios o por placer, se lleva a cabo en línea. Este aumento de la actividad en línea ha dado lugar a una explosión masiva de la ciberdelincuencia.

La ciberdelincuencia se ha convertido en una poderosa herramienta para los delincuentes que buscan robar nuestros datos personales y extorsionar. La velocidad, el anonimato y la comodidad de Internet han permitido a los delincuentes lanzar ataques muy selectivos con muy poco esfuerzo.

Según un reciente informe de la empresa de ciberseguridad Norton, los ciberdelincuentes robaron un total de 130.000 millones de libras esterlinas a los consumidores en 2017, incluidos 4.600 millones de libras esterlinas a los internautas británicos.

El más exitoso y peligroso de todos los ciberataques es el phishing. Las investigaciones han descubierto que el 91% de los ciberataques comienzan con un correo electrónico de phishing.

El phishing sigue siendo la forma más común de ciberataque debido a su sencillez, eficacia y alto rendimiento. Ha evolucionado desde sus primeros días de engañar a la gente con estafas de príncipes nigerianos y solicitudes de tratamiento médico de emergencia. Los ataques de phishing que se producen hoy en día son sofisticados, dirigidos y cada vez más difíciles de detectar.

La guía definitiva sobre el phishing

El asombroso número de correos electrónicos que se envían cada día en todo el mundo significa que es un método de ataque obvio para los ciberdelincuentes. Radicati Group ha estimado que 3.700 millones de personas envían alrededor de 269.000 millones de correos electrónicos cada día.

La guía definitiva sobre el phishing

Los investigadores de Symantec sugieren que casi uno de cada 2.000 de estos correos electrónicos es un correo de phishing, lo que significa que cada día se intentan unos 135 millones de ataques de phishing.

Tipos de ataques de phishing

Los ataques de phishing tienen muchas formas diferentes, pero el hilo conductor de todos ellos es su explotación del comportamiento humano. Los siguientes ejemplos son las formas más comunes de ataque utilizadas.

La guía definitiva sobre el phishing

Suplantación de identidad

Spear - El phishing es un intento más selectivo de robar información sensible y suele centrarse en una persona u organización específica. Estos tipos de ataques utilizan información personal específica del individuo para parecer legítimos.

Los ciberdelincuentes suelen recurrir a las redes sociales y a los sitios web de las empresas para investigar a sus víctimas. Una vez que conocen mejor a su objetivo, comienzan a enviar correos electrónicos personalizados que incluyen enlaces que, una vez pulsados, infectan el ordenador con malware.

La guía definitiva sobre el phishing

Vishing

El vishing se refiere a las estafas de phishing que tienen lugar por teléfono. Tiene la mayor interacción humana de todos los ataques de phishing, pero sigue el mismo patrón de engaño. Los estafadores suelen crear una sensación de urgencia para convencer a la víctima de que divulgue información sensible.

La llamada se realiza a menudo a través de una identificación falsa, para que parezca que proviene de una fuente fiable. Una situación típica es que el estafador se haga pasar por un empleado del banco para señalar un comportamiento sospechoso en una cuenta. Una vez que se haya ganado la confianza de la víctima, le pedirá información personal, como los datos de acceso, las contraseñas y el pin. Los datos pueden utilizarse para vaciar las cuentas bancarias o cometer un fraude de identidad.

La guía definitiva sobre el phishing

La caza de la ballena

Lo que distingue a esta categoría de phishing de otras es la elección del objetivo de alto nivel. Un ataque de "whaling" es un intento de robar información sensible y suele estar dirigido a la alta dirección.

Los correos electrónicos de "whaling" son mucho más sofisticados que los correos electrónicos de "phishing" corrientes y mucho más difíciles de detectar. Los correos electrónicos suelen contener información personalizada sobre el objetivo o la organización, y el lenguaje será más corporativo. Se dedica mucho más esfuerzo y reflexión a la elaboración de estos correos electrónicos debido al alto nivel de retorno para los ciberdelincuentes.

La guía definitiva sobre el phishing

Smishing

El smishing es un tipo de phishing que utiliza mensajes SMS en lugar de correos electrónicos para dirigirse a las personas. Es otra forma eficaz de que los ciberdelincuentes engañen a las personas para que divulguen información personal, como datos de cuentas, tarjetas de crédito o nombres de usuario y contraseñas. En este método, el estafador envía un mensaje de texto al número de teléfono de una persona y suele incluir una llamada a la acción que requiere una respuesta inmediata.

La guía definitiva sobre el phishing

Suplantación de identidad

El phishing de clonación consiste en utilizar un correo electrónico legítimo y previamente entregado para crear un correo electrónico idéntico con contenido malicioso. El correo electrónico clonado parecerá provenir del remitente original, pero será una versión actualizada que contiene enlaces o archivos adjuntos maliciosos.

Cómo el phishing puede dañar su negocio

Los ataques contra las empresas casi se han duplicado en los últimos cinco años y el daño que un ataque de phishing puede causar a una empresa puede ser devastador. A lo largo de los años, las empresas han perdido miles de millones como resultado de los ataques de phishing. Microsoft calcula que el coste potencial de la ciberdelincuencia para la comunidad mundial asciende a la asombrosa cifra de 500.000 millones y que una filtración de datos costará a la empresa media unos 3,8 millones.

A pesar de contar con las tecnologías de seguridad y defensa más potentes, los ciberdelincuentes suelen aprovechar el eslabón más débil de las defensas de una empresa, que suelen ser sus empleados. Un solo error humano puede provocar una pérdida masiva de datos sensibles.

Un estudio de Cisco reveló que el 22% de las organizaciones que sufrieron un ataque perdieron clientes inmediatamente después del mismo, lo que demuestra la seriedad con la que los consumidores se toman la seguridad de sus datos.

Un ataque de phishing exitoso puede resultar en:

robo de identidad

Robo de identidad

robo de datos sensibles

Robo de datos sensibles

robo de información del cliente

Robo de información de clientes

pérdida de nombres de usuario y contraseñas

Pérdida de nombres de usuario y contraseñas

pérdida de la propiedad intelectual

Pérdida de la propiedad intelectual

robo de fondos

Robo de fondos de cuentas de empresas y clientes

daño a la reputación

Daño a la reputación

transacciones no autorizadas

Transacciones no autorizadas

fraude de tarjetas de crédito

Fraude con tarjetas de crédito

instalación de malware y transomware

Instalación de malware y ransomware

acceso-a-sistemas-de-lanzamiento-de-ataques-futuros

Acceso a los sistemas para lanzar futuros ataques

datos-suministrados-a-terceros-delincuentes

Datos para terceros delincuentes

Es vital que las empresas tomen medidas para asegurarse de que están haciendo todo lo posible para educar al personal sobre los peligros de un ataque de phishing. La formación de los empleados sobre cómo reconocer eficazmente un intento de phishing es clave para mitigar el riesgo de una organización.

Para más información sobre cómo puede proteger su empresa de los ataques de phishing, haga clic aquí.

Para más información

sobre cómo puede proteger su empresa de los ataques de phishing

Consejos para detectar ataques de phishing

Identificar un correo electrónico de phishing se ha vuelto mucho más difícil que antes, ya que los delincuentes han perfeccionado sus habilidades y se han vuelto más sofisticados en sus métodos de ataque. Los correos electrónicos de phishing que recibimos en nuestra bandeja de entrada están cada vez mejor redactados, son personalizados, contienen los logotipos y el lenguaje de marcas que conocemos y en las que confiamos y están elaborados de tal manera que es difícil distinguir entre un correo electrónico oficial y un correo electrónico dudoso redactado por un estafador.

McAfee estima que el 97% de las personas de todo el mundo son incapaces de identificar un sofisticado correo electrónico de phishing, por lo que los ciberdelincuentes siguen engañando con éxito a la gente para que entregue información personal o descargue malware. A pesar de la creciente sofisticación y la naturaleza convincente de estos correos electrónicos, todavía hay algunas señales de regalo que pueden alertarnos de la presencia de un correo electrónico de phishing.

detección de phishing

1. Una URL errónea

Una de las primeras cosas que hay que comprobar en un correo electrónico sospechoso es la validez de una URL. Si pasa el ratón por encima del enlace sin hacer clic en él, debería ver aparecer la dirección completa del hipervínculo. A pesar de parecer perfectamente legítima, si la URL no coincide con la dirección mostrada, es una indicación de que el mensaje es fraudulento y probablemente sea un correo electrónico de phishing.

2. El correo electrónico solicita información personal

Una empresa de confianza nunca enviará un correo electrónico a los clientes solicitando información personal como el número de cuenta, la contraseña, el pin o las preguntas de seguridad. Si recibes un correo electrónico solicitando esta información, es probable que se trate de un correo de phishing y debes eliminarlo inmediatamente.

3. Mala ortografía y gramática

Los ciberdelincuentes no son famosos por su excelente ortografía y gramática. Cuando las empresas legítimas envían correos electrónicos a los clientes, suelen ser revisados por redactores para garantizar que la ortografía y la gramática sean correctas. Si detecta errores ortográficos o gramaticales en un correo electrónico, es poco probable que proceda de una organización oficial y podría indicar la presencia de un correo electrónico de phishing.

4. El uso de un lenguaje amenazante o urgente

Una táctica común de phishing es promover una sensación de miedo o urgencia para apresurar a alguien a hacer clic en un enlace. Los ciberdelincuentes suelen utilizar la amenaza de que su seguridad se ha visto comprometida y que es necesario tomar medidas urgentes para remediar la situación. Tenga cuidado con las líneas de asunto que afirman que su cuenta ha sufrido un "intento de inicio de sesión no autorizado" o que su "cuenta ha sido suspendida". Si no está seguro de que la solicitud sea legítima, póngase en contacto directamente con la empresa a través de su sitio web oficial o su número de teléfono oficial.

5. Correspondencia inesperada

Si recibe un correo electrónico en el que se le informa de que ha ganado un concurso en el que no ha participado, o se le pide que haga clic en un enlace para recibir un premio, es muy probable que se trate de un correo electrónico de phishing. Si una oferta parece demasiado buena para ser verdad, suele serlo.

Cómo protegerse de los ataques de phishing

La guía definitiva sobre el phishing

1. Nunca haga clic en enlaces sospechosos

El tipo más común de estafa por suplantación de identidad consiste en engañar a las personas para que abran correos electrónicos o hagan clic en un enlace que puede parecer procedente de una empresa legítima o de una fuente de confianza.

Al crear una sensación de urgencia, se engaña a los usuarios para que hagan clic en un enlace o abran un archivo adjunto. El enlace puede dirigirle a un sitio web falso en el que se le pide que introduzca sus datos personales o le lleva a un sitio web que infecta directamente su ordenador con un ransomware.

Las empresas legítimas nunca enviarán correos electrónicos en los que se solicite hacer clic en un enlace para introducir o actualizar datos personales.

La guía definitiva sobre el phishing

2. Educar al personal

Las empresas pueden disponer de los sistemas de defensa de seguridad más potentes, pero esto ofrece poca protección si los ciberdelincuentes son capaces de saltarse estas defensas tecnológicas tradicionales y llegar directamente a un empleado para engañarlo y que divulgue información sensible.

Más del 90% de los ciberataques que tienen éxito son el resultado de la información proporcionada por los empleados sin saberlo. A medida que las redes se vuelven más difíciles de vulnerar, los hackers se dirigen cada vez más a lo que perciben como el eslabón más débil de las defensas de una empresa: sus empleados.

A medida que los piratas informáticos perfeccionan sus técnicas y se vuelven más selectivos en sus ataques, es importante educar al personal y proporcionarle formación periódica sobre lo que debe tener en cuenta y cómo puede desempeñar su papel en la prevención de un ciberataque.

No dejes que tu personal muerda el anzuelo.

MetaPhish ha sido diseñado específicamente para proteger a las empresas de los ataques de phishing y ransomware y proporciona la primera línea de defensa en la lucha contra la ciberdelincuencia. Si desea más información sobre cómo se puede utilizar para proteger y educar a su personal.

La guía definitiva sobre el phishing

3. Ten cuidado con lo que publicas en Internet

Internet y las redes sociales han transformado la forma en que nos comunicamos a diario, pero esta cultura de compartir ha proporcionado a los ciberdelincuentes una forma fácil de perfilar a las víctimas potenciales, lo que garantiza que sus intentos de suplantación de identidad sean más selectivos y difíciles de detectar.

Los piratas informáticos están recurriendo a las redes sociales para acceder a información personal como la edad, el cargo, la dirección de correo electrónico, la ubicación y la actividad social. El acceso a estos datos personales proporciona a los piratas informáticos suficiente información para lanzar un ataque de phishing altamente dirigido y personalizado.

Para reducir las posibilidades de caer en un correo electrónico de phishing, piense con más cuidado en lo que publica en línea, aproveche las opciones de privacidad mejoradas, restrinja el acceso a cualquier persona que no conozca y cree contraseñas seguras para todas sus cuentas de redes sociales.

Lea nuestra guía para protegerse de los hackers

Para reducir las posibilidades de caer en un correo electrónico de phishing, piense con más cuidado en lo que publica en línea, aproveche las opciones de privacidad mejoradas, restrinja el acceso a cualquier persona que no conozca y cree contraseñas seguras para todas sus cuentas de redes sociales.

La guía definitiva sobre el phishing
La guía definitiva sobre el phishing

4. Verificar la seguridad de un sitio

Antes de introducir cualquier información en un sitio web, siempre hay que comprobar que el sitio es seguro. La mejor manera de hacerlo es mirar la URL de un sitio web. Si empieza por "https" en lugar de "http", significa que el sitio ha sido protegido mediante un certificado SSL (la S significa seguro). Los certificados SSL garantizan que todos sus datos están seguros cuando pasan de su navegador al servidor del sitio web. También debería haber un pequeño icono de un candado cerca de la barra de direcciones que también indica que el sitio es seguro.

La guía definitiva sobre el phishing

5. Instalar el software antivirus

El software antivirus es la primera línea de defensa para detectar amenazas en su ordenador y bloquear el acceso de usuarios no autorizados. También es vital asegurarse de que el software se actualiza regularmente para garantizar que los hackers no puedan acceder a su ordenador a través de las vulnerabilidades de los programas más antiguos y obsoletos.