El phishing es actualmente la principal amenaza para la ciberseguridad de las empresas. Los ciberdelincuentes saben que el correo electrónico sigue siendo imprescindible para organizaciones y profesionales, a pesar de que muchos expertos hayan vaticinado su fin como herramienta de comunicación.
[hde_related]
Si bien es cierto que las aplicaciones de mensajería instantánea han ganado terreno, sobre todo dentro del ámbito personal, el email sigue siendo el más utilizado. Para hacernos una idea: se calcula que en un minuto se envían unos 188 millones de emails en todo el mundo, mientras que en ese mismo periodo de tiempo se mandan cerca de 42 millones de mensajes por WhatsApp y Facebook Messenger, conjuntamente.
Fuente: Lori Lewis
Algunos datos sobre el phishing o suplantación de la identidad
Las empresas españolas tienen alto riesgo de sufrir ciberataques, y el correo electrónico emerge como el vector de ataque preferido por los delincuentes informáticos. Los siguientes datos extraídos del informe Correo electrónico: pulse con precaución de Cisco ayudan a entender el escenario al que se enfrentan las compañías:
- Al 55% de los CISO españoles (directores de la seguridad de la información) les preocupa más que los empleados pulsen sobre un enlace en un email sospechoso que el almacenamiento de datos en la nube pública o el uso de los dispositivos móviles corporativos.
- España es el país de Europa con un mayor porcentaje de incidentes de seguridad provocados por la apertura de emails maliciosos en las empresas: un 54% frente al 41% de media europea.
- El correo electrónico es el principal canal para la suplantación de identidad (96%) y la propagación de malware (92,6%).
Recientes datos aportados por Kaspersky indican que España (15,85%) ha sido el sexto país del mundo con más ataques de phishing durante el segundo trimestre de 2019, por detrás de Grecia (26,20%), Venezuela (26,67%), Brasil (20,86%), Australia (17,73%) y Portugal (17,47%).
Además, se da la circunstancia que los ataques de suplantación de identidad son cada vez más dirigidos a objetivos específicos. Al contrario de lo que pueda parecer, los estafadores prefieren investigar a empresas e instituciones para extraer la máxima información posible y personalizar su ataque. Como la estafa es más verosímil, consiguen engañar a un mayor número de empleados, obteniendo más rédito económico que con ciberataques indiscriminados.
Algunas recomendaciones para no ser víctima del phishing
Los mensajes impersonales, errores ortográficos y textos que parecen malas traducciones característicos de los intentos de estafa masivos ya no son tan frecuentes. Ahora hay que ser mucho más cautelosos con los emails que se reciben. Los cibercriminales buscan información en los perfiles sociales de los empleados, indagan con qué proveedores y clientes trabaja la empresa y realizan llamadas haciéndose pasar por alguien de confianza para después construir un mensaje más creíble y lograr su objetivo.
La primera capa de seguridad contra el phishing corre a cargo la compañía, utilizando soluciones como X Protection para proteger los dispositivos corporativos. Una segunda medida, que complementa la anterior, es la activación de la autenticación de doble factor (utilizar un segundo factor de identificación además del usuario y contraseña, por ejemplo, envío de un SMS con un código al móvil) para acceder a los servicios e información crítica de la empresa. De esta forma evitamos que los ciberdelincuentes puedan, por ejemplo, enviar un email desde la cuenta corporativa si roban las credenciales de cualquier empleado.
Identificar emails sospechosos de ser estafas puede ser una tarea un poco más complicada dependiendo de su nivel de personalización. Aunque existen indicadores que nos pueden dar indicios de estar ante un caso de phishing, hay que ponerse en alerta en los siguientes casos:
- Un proveedor que:
- Reclama el pago de una factura pendiente por transferencia.
- Adjunta un archivo con una factura que no esperamos. Puede estar infectada con algún programa malicioso para poder acceder a la información guardada en el equipo informático y a la red corporativa.
- Banco habitual de la empresa que solicita que se acceda al área cliente de su sitio web a través de un enlace en el mismo email. El link puede llevar a una página web falsa que imita la original. Al introducir el usuario y la contraseña estamos entregando las credenciales a los estafadores. Cuidado, no es suficiente con verificar si el sitio web donde nos dirige el enlace es seguro (https) porque los ciberdelincuentes también las utilizan.
- Directivo de la empresa que solicita de forma confidencial ayuda para realizar una operación financiera. Este caso es conocido como la estafa del CEO.
En cualquiera de estas situaciones o similares que impliquen pagos por transferencia o reembolsos de cantidades es conveniente no realizar ninguna acción en el momento que se recibe el email y confirmar la veracidad de la solicitud con una llamada telefónica al proveedor, banco, cliente o directivo de la empresa.
Imágenes | Web Hosting, Kevin Ku y bruce mars en Unsplash.