En los foros de expertos en ciberseguridad se usan tecnicismos y siglas que pocos fuera de ese mundo entienden. APT, denegación de servicio, SASE, XRD, exploit, lista negra, DLP… Sin embargo, muchos de estos especialistas coinciden en señalar que, a pesar de la sofisticación de los ataques y de la precisión que puede tener el software que compran las compañías para defenderse, el factor clave para hacer frente a los ataques cibernéticos sigue siendo la formación y la concienciación de las personas a las que van dirigidos. [hde_related]
Los ciberdelincuentes están sobre todo interesados en atacar el llamado ‘eslabón humano’. Y por eso el phishing, que se aprovecha de la ingenuidad y el descuido de los empleados, sigue siendo el ataque más habitual al que están expuestas las empresas. En origen, la palabra viene del inglés ‘fishing’, que significa ‘pesca’. Y hace alusión al acto de ‘pescar’ usuarios mediante señuelos más o menos rebuscados. Este ciberataque, que es el más extendido, está basado en el engaño y la suplantación de identidad.
El phishing sigue siendo una de las vías más exitosas y económicas que tienen los ciberdelincuentes para instalar software malicioso en los ordenadores de los empleados, robar credenciales y forzar a que estos realicen transferencias de dinero a nivel corporativo. También les permite desplegar ransomware para cifrar la información y pedir más tarde un rescate por esos datos. O para convertir el dispositivo de la víctima en un equipo zombi que en algún momento les servirá para un ataque.
En el phishing nada es lo que parece
Son phishing, por ejemplo, los envíos de correos electrónicos que parecen proceder del banco de confianza de la compañía, de una oficina del Gobierno o incluso de un cliente o proveedor en los que se pide a la víctima que pinche en un enlace o que vaya a una página web falsa donde dejará información confidencial. Los atacantes se las ingenian para falsificar logotipos y encabezados. También suelen esmerarse para crear sensación de urgencia, con el fin de provocar una respuesta rápida y poco meditada por parte de la víctima. Y remiten a portales de acceso y sitios web de aspecto casi impecable y legítimo. Todo es puro engaño.
Según un informe del fabricante de antivirus Eset, las amenazas por correo electrónico experimentaron un aumento del 37 % en los primeros cuatro meses de 2022 en comparación con los últimos de 2021. Y el número de direcciones de phishing se disparó casi al mismo ritmo, con muchos estafadores aprovechando el interés por la guerra entre Rusia y Ucrania.
En los últimos meses, el Instituto Nacional de Ciberseguridad (Incibe) ha llamado la atención sobre campañas de phishing donde se suplanta a la Agencia Tributaria, aprovechando la campaña de la renta, y a CaixaBank y Banco Sabadell. Estos mensajes falsos piden información a sus clientes para renovar tarjetas de crédito. No han sido los únicos afectados: también Correos (un clásico) y Dropbox.
Formación y concienciación en torno al phishing
Ante este escenario de desconfianza generalizada, las empresas deben entender que la mejor defensa está en la formación y la concienciación de sus empleados. Y no tanto en invertir ingentes cantidades de dinero en software de detección y mitigación de ataques. La mejor defensa es saber que existen y conocer su modus operandi.
Los expertos recomiendan ofrecer sesiones de formación sobre todos los casos de phishing que se pueden dar, con ejemplos reales. Hay que recordar que los delincuentes suelen recurrir al correo electrónico, pero también al teléfono (vishing), los SMS y el WhatsApp (smishing) y las redes sociales. Las sesiones de formación deberán ser continuas, pero nunca largas (no más de 15 minutos si es posible). Para motivar a la plantilla, también se pueden organizar actividades lúdicas, como juegos y concursos. Es importante que las empresas den mensajes positivos en lugar de instaurar el miedo.
Además, son convenientes las simulaciones reales de ataques de phishing dentro de la compañía. Así, se puede observar su incidencia y detectar a los empleados más confiados para reforzar los mensajes de prudencia con ellos. Esta es una tarea del equipo informático.
También será bueno organizar actividades personalizadas adaptadas a departamentos específicos de la compañía. Por ejemplo, el equipo de finanzas podría tener una sesión centrada en los ataques que comprometen el correo electrónico de la empresa (conocidos como BEC, siglas de ‘business email compromise’), que son los que solicitan transferencias de dinero por supuestas facturas que están sin pagar, por ejemplo.
Y, por último, puede ser útil realizar ejercicios de phishing del tipo ‘hazlo tú mismo’, que obliga a los empleados a escribir correos electrónicos fraudulentos con el fin de darles una visión más profunda de las técnicas que utilizan los delincuentes de verdad.
Consejos finales para mantener el phishing a raya
Como decíamos más arriba, la mejor defensa antiphishing es saber que existe este tipo de ataque. Más allá de eso, hay señales muy evidentes para detectarlo en la bandeja de entrada del correo. Por ejemplo, será sospechoso un email con errores ortográficos y gramaticales o vinculado a una dirección URL algo diferente al sitio web legítimo. También conviene desconfiar de un mensaje con tono apremiante o amenazante. Ningún banco serio trata a sus clientes de esa forma, por ejemplo.
Y, por último, para evitar el phishing, también hay algunos consejos complementarios a seguir. Los puntos claves son:
- Mantener el software del ordenador actualizado.
- No abrir adjuntos ni hacer clic en enlaces sospechosos.
- Instalar un buen antivirus y mantenerlo actualizado.
- No publicar información confidencial ni financiera en las redes sociales.
Imágenes | Incibe, Freepik.es, Freepik.es/pressfoto
