La semana pasada publicamos un artículo sobre Cómo minimizar el riesgo de una filtración de datos y describió algunos de los tipos de ciberataque que tienen el potencial de causar estragos en sus sistemas y datos confidenciales.

El phishing es el método predominante utilizado por los estafadores para obtener información confidencial, como nombres de usuario, contraseñas y datos de tarjetas de crédito, haciéndose pasar por un usuario o entidad de confianza.

Estos ataques suelen realizarse mediante la suplantación del correo electrónico o la mensajería instantánea, y suelen dirigir a los usuarios para que introduzcan información personal en un sitio web falso que coincide con la apariencia del sitio legítimo.

Muy pocas organizaciones tienen los conocimientos y la experiencia necesarios para protegerse contra este tipo de ciberdelincuencia. Cómo recuperarse de un 'exitoso". Un ataque de phishing puede costar a una empresa de tamaño medio más de un millón de dólares, por lo que es absolutamente vital que las empresas sepan cómo identificar una estafa de phishing y se aseguren de que sus empleados son plenamente conscientes de los riesgos que suponen estos ataques.

¿Qué es el phishing?

El phishing es un tipo de estafa en la que los ciberdelincuentes se hacen pasar por una persona, organización u otra entidad de confianza. Su objetivo principal es engañar a su objetivo para que revele información confidencial, como credenciales de acceso, datos de cuentas bancarias o tarjetas de crédito e información personal identificable.

Los piratas informáticos pueden utilizar esta información para acceder fácilmente a las cuentas en línea del objetivo, lo que a menudo da lugar a la pérdida de sumas de dinero importantes, a veces considerables.

Incluso cuando una empresa atacada no sufre pérdidas económicas, los piratas informáticos suelen causar graves trastornos al robar datos sensibles de los clientes, lo que, si se considera una violación de datos evitable, puede dar lugar a multas punitivas y daños a la reputación.

Al principio, los ataques de phishing se realizaban exclusivamente por correo electrónico. Sin embargo, en los últimos tiempos ha aumentado notablemente el número de estafas de phishing realizadas a través de llamadas telefónicas y mensajes de texto. También se ha producido un aumento espectacular del "spear phishing".

Según Technopedia, hay una sutil diferencia entre el spear phishing y un intento de phishing normal. Con el spear phishing, un correo electrónico parece provenir de una organización más cercana al objetivo, como una empresa concreta. El objetivo del hacker es obtener acceso a información de confianza. Esto puede ser tan simple como buscar el nombre de un director general en un sitio web corporativo y luego enviar lo que parece ser un mensaje del jefe a cuentas de correo electrónico en el dominio corporativo.

Las peticiones o "llamadas a la acción" contenidas en los correos electrónicos de phishing selectivo no son fácilmente identificables. Ejemplos típicos son los mensajes que aparentemente provienen de un empleador o del banco de la empresa, en los que se solicita la firma de un documento importante o la actualización de los datos de la cuenta, respectivamente.

Correos electrónicos de phishing con ransomware

El ransomware es un tipo de malware que amenaza con publicar los datos de la víctima o con bloquear perpetuamente el acceso a ellos a menos que se pague un rescate. Mientras que algunos ransomware sencillos pueden bloquear el sistema de una manera que no es difícil de revertir para una persona con conocimientos, el malware más avanzado utiliza una técnica llamada extorsión criptoviral, en la que cifra los archivos de la víctima, haciéndolos inaccesibles, y exige el pago de un rescate para descifrarlos.

En noviembre de 2016, PhishMe Inc, un proveedor líder de soluciones de defensa contra el phishing humano, publicó un informe que revelaba que la cantidad de correos electrónicos de phishing que contenían una forma de ransomware había aumentado del 92% en el primer trimestre de 2016, a un asombroso 97% durante el tercer trimestre de ese año.

El ransomware se propaga con mayor frecuencia mediante archivos adjuntos en correos electrónicos fraudulentos. Una vez abierto por el destinatario desprevenido, los archivos adjuntos comienzan a descargar el ransomware directamente en el dispositivo, ya sea un ordenador, una tableta o un smartphone.

Los riesgos asociados a los intentos de phishing son extremadamente altos. Por lo tanto, es vital que las organizaciones comprendan cómo identificar una estafa de phishing.

Seis identificadores de una estafa de phishing

  1. ERRORES ORTOGRÁFICOS Y GRAMATICALES
    La forma más obvia de saber si un correo electrónico es legítimo o una estafa es leer detenidamente el texto del mensaje para detectar cualquier error ortográfico o gramatical. Si su banco le envía un correo electrónico solicitando que actualice los datos de su cuenta, es muy poco probable que el mensaje contenga tales errores.

  2. LOGO, NOMBRES Y NÚMEROS
    No se deje engañar por la aparición de un logotipo oficial, un número de teléfono auténtico o incluso el nombre de una persona real que trabaja para la empresa del remitente en el correo electrónico. Este es un truco habitual de los estafadores, para hacer creer al destinatario que el correo electrónico es auténtico.

  3. CORREO ELECTRÓNICO DE UN COLEGA
    Si recibe un correo electrónico que dice ser de un compañero de trabajo, enviado fuera de horario, o que contiene una ortografía inusualmente mala, esté atento y compruebe con el remitente antes de hacer clic en cualquier enlace del correo electrónico.

  4. AMENAZAS
    Un método habitual que utilizan los ciberdelincuentes para intentar convencer a sus objetivos de que entreguen su información personal o hagan clic en enlaces que descarguen un archivo malicioso, es lanzar amenazas personales. Un correo electrónico especialmente desagradable que envían los estafadores afirma que han grabado al destinatario visitando sitios web de pornografía y amenazan con enviar el vídeo a todos los miembros de la lista de contactos del destinatario, a menos que se les haga un pago en bitcoin directamente a ellos.

  5. SE REQUIERE UNA ACCIÓN URGENTE
    Cada vez más, los hackers intentan crear una sensación de urgencia, con el fin de que el destinatario no sea consciente de los indicios más obvios de que el correo electrónico forma parte de una estafa. Una forma habitual de conseguirlo es sugerir que una de las cuentas en línea del destinatario se ha visto comprometida y necesita ser restablecida. A menudo, un enlace de "restablecimiento" en el correo electrónico conduce a una versión falsa del sitio web, donde se pueden registrar las nuevas credenciales de inicio de sesión del usuario, lo que permite al pirata informático acceder libremente a la información personal del objetivo.

  6. ANEXOS SOSPECHOSOS
    En este caso, el destinatario recibe un correo electrónico de un remitente desconocido, que contiene un archivo adjunto con un nombre extraño. Al igual que ocurre con los mensajes de correo electrónico que contienen un enlace, la verdadera URL de destino puede revelarse pasando el cursor del ratón por encima de la URL.

  7. ESTAFAS DE LLAMADAS FRÍAS DE SOPORTE TÉCNICO

    Las llamadas frías de soporte técnico se producen cuando un estafador llama a una víctima potencial diciendo que es de una empresa de seguridad de confianza. Mienten y dicen que han encontrado malware en el ordenador de la víctima.

    El delincuente finge ofrecer una solución haciendo que el usuario instale un tipo de software de escritorio remoto. Esto permite al atacante acceder al ordenador para instalar malware real. Además de intentar instalar malware en la máquina, estos estafadores suelen pedir una tarifa para "arreglar" el problema.

    Cómo protegerse de las estafas en las llamadas de soporte técnico:

    • Si una persona llama diciendo que trabaja para una empresa concreta y conocida, busque el número de teléfono en Internet y dígale que ya le llamará.

    • Nunca permita el acceso remoto a su ordenador.

Cómo protegerse de los ataques de phishing

En muchos casos es bastante obvio cuando un mensaje de correo electrónico es un intento de engañar al destinatario para que haga clic en un enlace o abra un archivo adjunto. Sin embargo, por desgracia, algunos mensajes de correo electrónico son elaborados por estafadores "mejor educados", que pueden escribir mensajes elocuentes y sin errores, que pueden pasar desapercibidos si se basan simplemente en los signos reveladores descritos anteriormente.

Afortunadamente, hay formas de minimizar el riesgo y protegerse contra estas estafas de phishing:

  • Software antivirus
    La mayoría de la gente sabe que instalar un software antivirus actualizado es vital, no sólo para la protección de los dispositivos conectados a Internet, sino también para proteger su propia empresa. Los productos antivirus de proveedores de confianza como McAfee, Symantec/Norton, Trend y Kaspersky ayudan a proteger contra todo tipo de amenazas. Algunos productos antivirus incluyen incluso protección contra la suplantación de identidad, ya que analizan instantáneamente los archivos adjuntos a los correos electrónicos para determinar si son seguros o no. La mayoría de estos productos de software también escanean periódicamente el dispositivo para garantizar que cualquier estafa de phishing de la que el usuario no se haya percatado sea tratada adecuadamente.

  • Red privada virtual (VPN)

    Cada vez más, los usuarios optan por el uso de una Red Privada Virtual para mantener conexiones seguras mientras están en línea. Esto es especialmente importante cuando se utilizan conexiones WiFi públicas para acceder a información confidencial o sensible.

    El uso de redes WiFi públicas suele presentar amenazas de seguridad adicionales y es mejor evitarlas, a menos que cuente con una solución VPN eficaz, como NordVPN, ProtonVPV o Private Internet Access VPN, que cifre sus datos siempre que esté en línea.

    Nunca inicie sesión en su cuenta bancaria ni acceda a información sensible de la empresa mientras esté en una red no segura. Si lo hace, no sólo corre el riesgo de sufrir ataques de phishing, sino también de ataques man-in-the-middle y otras prácticas maliciosas.

  • Filtros de correo electrónico
    El uso de un filtro de correo electrónico no garantiza por sí solo que no recibas ningún correo malicioso, pero sin duda ayuda. Algunos proveedores de correo electrónico tienen filtros de spam y correo no deseado más eficaces, por lo que vale la pena investigar antes de elegir qué servicio de correo electrónico quieres utilizar.
    Si te preocupan especialmente las amenazas que suponen los correos electrónicos de phishing, puedes desactivar fácilmente todos los hipervínculos en la configuración de tu software de correo electrónico. Por supuesto, el lado negativo de esta acción es que, aunque evitará que los correos electrónicos entrantes incluyan enlaces potencialmente peligrosos, también impedirá que recibas enlaces en correos electrónicos de remitentes legítimos.

  • Educar a su personal
    Es imprescindible que todos los empleados que utilicen ordenadores y otros dispositivos conectados estén formados para detectar los correos electrónicos sospechosos, especialmente los que contienen archivos adjuntos y/o hipervínculos. El personal de su departamento de TI puede reconocer los signos reveladores de un correo electrónico de phishing, pero si otros empleados no son tan conscientes, toda su red podría estar en peligro.

Por último, si sospecha que puede haber sido objeto de una estafa de phishing, le sugerimos que tome inmediatamente las siguientes medidas:

  1. Cambie sus contraseñas. Su ordenador, las instituciones financieras y cualquier sitio web protegido por contraseña que visite deben estar actualizados.

  2. Ejecute un análisis completo del sistema en busca de virus en su ordenador.

  3. Póngase en contacto con su banco para informar de que puede haber sido víctima de un fraude.

  4. Utiliza tu software antivirus para escanear tu ordenador. Si aún no ha instalado un producto de software antivirus, puede considerar herramientas como Norton Power Eraser. Este software puede ayudar a detectar amenazas más complejas que algunos programas antivirus tradicionales.

 

NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en privacidad y protección de datos cuando se preparen para cumplir con la legislación sobre protección de datos y privacidad.

Fuentes: Tecnopedia, PhishMe Inc. Informe, SymantecNorton, Wikipedia

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.