Si la seguridad empresarial es algo importante para ti, tal vez te deba interesar saber cómo proteger a tu compañía del phishing, una de las formas de ciberataques más comunes en el mundo. El phishing es una técnica usada por equipos de hackers para robar tu dinero o tu identidad a través del robo de información personal, como números de tarjetas de crédito, información bancaria o contraseñas, en sitios web que pretenden ser legítimos. Los ciberdelincuentes suelen hacerse pasar por empresas de renombre, amigos o conocidos en un mensaje falso que contiene un enlace a un sitio web de phishing.
De hecho, gracias a su eficacia y el desarrollo que ha tenido en los últimos años, se ha convertido en una forma popular de ciberdelincuencia. Quienes usan este método han tenido éxito utilizando diferentes métodos desde correos electrónicos, mensajes de texto, mensajes directos en las redes sociales o incluso dentro de videojuegos, para que las personas respondan con su información personal. La mejor defensa es el conocimiento y una asesoría que te ayude a concientizar a tu equipo de trabajo, WhiteShield puede ser tu mejor aliado en la ciberseguridad.
La prevención del phishing se ha vuelto esencial a medida que más delincuentes recurren a este tipo de estafas en línea. Hemos aprendido a esquivar los correos electrónicos no deseados o de spam, pero los correos electrónicos de phishing pueden parecer engañosamente creíbles y hasta confiables. Incluso, algunos están personalizados específicamente para ti, tu empresa o algún empleado dentro de ella. Dado que es probable que eventualmente se exponga a un ataque de phishing, deberá conocer las principales señales de alerta. Porque las estafas no son nada nuevo en la web, pero el phishing es más difícil de detectar de lo que piensas.
¿Cuáles son los principales tipos de Phishing?
El hacker utiliza el phishing para persuadirte de realizar una acción para infectar con malware a tu empresa y, de esta manera, robar información sensible. Muchas veces se hacen pasar por otras personas o compañías legales para parecer lo más creíbles posibles. En otras palabras, buscan ganarse tu confianza.
Estos programas maliciosos pueden instalarse al abrir un archivo adjunto, seguir un enlace, completar un formulario o responder con información personal. Por esa lógica, debes estar en guardia en todo momento, lo que puede ser agotador. Algunos de los ejemplos más comunes son los siguientes:
- Spear phishing
- Whaling
- Smishing
- Vishing
- Phishing por e-mail
- Phishing por motores de búsqueda
- Spam Phishing
- Social Media Phishing
El phishing recibe su nombre de acuerdo al modo de operación y medio que utilizan para obtener la información sensible. El vishing se lleva a cabo por medio de una llamada de voz. Un ataque común de vishing incluye una llamada de alguien diciendo ser un representante de una empresa importante o de tu propia compañía telefónica para obtener datos sensibles. Sin embargo, no es tan común como el phishing por e-mail, donde el hacker usualmente le informa que se ha comprometido su cuenta y que necesita responder inmediatamente haciendo click en un link.
El phishing por motores de búsqueda, también conocido como “SEO poisoning” o “Troyanos de SEO”, es donde los hackers se convierten en el primer resultado en una búsqueda usando un motor de búsqueda. Hacer click en el link que se encuentra en el motor de búsqueda le dirige hacia el sitio web del hacker. Ahí, los actores maliciosos pueden robar su información cuando interactúa con el sitio y/o ingresa datos sensibles. Los hackers pueden hacerse pasar por cualquier sitio web, pero los candidatos principales son bancos, transferencias, redes sociales y sitios de compras en línea.
El malware podría contener lo que sea, desde un Troyano bancario hasta un bot (versión corta de robot). El Troyano bancario espía su actividad en línea para robar más información – a menudo su información bancaria, incluyendo su contraseña. Un bot es un software diseñado para hacer la tarea que el hacker le programe para hacer. Está controlado por comando y control (C&C) para minar bitcoins, mandar spam o lanzar un ataque como parte de un ataque de denegación de servicio (DDoS).
Spam Phishing y Spear Phishing
El spam phishing es una amplia red que se lanza para atrapar a cualquier persona desprevenida. La mayoría de los ataques de phishing entran en esta categoría. Para explicarlo, el correo no deseado es el equivalente electrónico del “correo basura” que llega a su buzón de correo. Los spammers y ciberdelincuentes envían mensajes de spam de phishing en cantidades masivas que buscan hacer una o más de las siguientes cosas:
- Gana dinero con el pequeño porcentaje de destinatarios que responden al mensaje.
- Ejecute estafas de phishing: para obtener contraseñas, números de tarjetas de crédito, detalles de cuentas bancarias y más.
- Difundir código malicioso en las computadoras de los destinatarios.
El phishing de spam es uno de los medios más populares para que los estafadores obtengan su información. Sin embargo, algunos ataques son más específicos que otros.
El Spear Phishing es una forma de ciberataque que se dirige hacia un grupo o tipo específico de individuos, como el administrador de los sistemas de una empresa. Usualmente se utiliza un e-mail que contenga un link al que se le pide seguir, escrito con urgencia y que está explícitamente dirigido y de manera personal. Por otra parte, el whaling es un tipo aún más especializado de phishing, típicamente se dirigen hacia CEOs, CFOs, o cualquier CXX en una industria o una empresa específica.
El smishing es un ataque que usa mensajes de texto o SMS (short message service) para ejecutar el ataque. Una técnica común de smishing es mandar un mensaje de SMS que contenga un link o un número al que hay que llamar. Un ejemplo común de un ataque de smishing es un SMS que parece haber venido de su banco. Dice que su cuenta ha sido comprometida y que necesita responder inmediatamente. El atacante le pide verificar su número de cuenta, número de seguridad social, etc. Una vez que el atacante recibe la información, ahora tiene el control de su cuenta bancaria.
Cómo defenderte a tu empresa del Phishing
La mejor defensa es el conocimiento y una asesoría que te ayude a concientizar a tu equipo de trabajo, WhiteShield puede ser tu mejor aliado en la ciberseguridad. Algunos pasos que te pueden ser útiles para mantener segura a tu empresa son los siguientes:
- Por lo general, no es recomendable hacer clic en un enlace en un correo electrónico o mensaje instantáneo, incluso si conoce al remitente. Lo mínimo que debe hacer es pasar el cursor sobre el enlace para ver si el destino es el correcto. Algunos ataques de phishing son bastante sofisticados y la URL de destino puede parecer una copia al carbón del sitio original, configurada para registrar pulsaciones de teclas o robar información de inicio de sesión/tarjeta de crédito. Si le es posible ir directamente al sitio a través de su motor de búsqueda, en lugar de hacer clic en el enlace, entonces debería hacerlo.
- Si la URL del sitio web no comienza con “https”, o no puede ver un icono de candado cerrado junto a la URL, no ingrese información confidencial ni descargue archivos de ese sitio. Es posible que los sitios sin certificados de seguridad no estén destinados a estafas de phishing, pero es mejor prevenir que curar.
- Si tiene cuentas en línea, debe adquirir el hábito de rotar regularmente sus contraseñas para evitar que un atacante obtenga acceso ilimitado. Es posible que sus cuentas se hayan visto comprometidas sin que usted lo sepa, por lo que agregar esa capa adicional de protección a través de la rotación de contraseñas puede evitar ataques continuos y bloquear a posibles atacantes.
- Los cortafuegos son una forma efectiva de prevenir ataques externos, ya que actúan como un escudo entre su computadora y un atacante. Tanto los firewalls de escritorio como los firewalls de red, cuando se usan juntos, pueden reforzar su seguridad y reducir las posibilidades de que un pirata informático se infiltre en su entorno.
- A medida de que los métodos de phishing se actualizan, es necesario seguir a sitios en línea que te mantengan al tanto sobre los últimos ataques de phishing y sus identificadores clave. Cuanto antes conozcas de los métodos de ataque más recientes y los comparta con tu planta de empleados a través de la capacitación regular sobre seguridad, más probabilidades tendrá de evitar un posible ataque.
Si tu principal problema ha sido identificar un phishing via e-mail, estos son algunos puntos a considerar que te pueden ser útiles::
- Llamado a la acción urgente o amenazas: sospeche de los correos electrónicos que afirman que debe hacer clic, llamar o abrir un archivo adjunto de inmediato
- Cada vez que vea un mensaje que requiera una acción inmediata, tómese un momento, haga una pausa y mire cuidadosamente el mensaje. ¿Estás seguro de que es real? Reduzca la velocidad y sea seguro.
- Si bien no es inusual recibir un correo electrónico de alguien por primera vez, especialmente si se encuentra fuera de su organización, esto puede ser una señal de phishing.
- Mala Ortografía e ineficiente gramática: las empresas y organizaciones profesionales suelen tener un equipo editorial experto en la materia, si un mensaje de correo electrónico tiene errores ortográficos o gramaticales obvios, podría ser una estafa.
- Saludos genéricos: Si el correo electrónico comienza con un genérico “Estimado señor o señora”, es una señal de advertencia de que en realidad podría no ser su banco o sitio de compras.
- Si el correo electrónico dice ser de una empresa de confianza, como Microsoft o su banco, pero el correo electrónico se envía desde otro dominio de correo electrónico como Gmail.com o microsoftsupport.ru, probablemente sea una estafa.
- Si sospecha que un mensaje de correo electrónico es una estafa, no abra ningún enlace o archivo adjunto que vea. En su lugar, pase el mouse sobre el enlace, pero no haga clic en él, para ver si la dirección coincide con el enlace que se escribió en el mensaje. En el siguiente ejemplo, al colocar el mouse sobre el enlace, se muestra la dirección web real en el cuadro con fondo amarillo. Tenga en cuenta que la cadena de números no se parece en nada a la dirección web de la empresa.
Si tiene la mala suerte de ser víctima de un ataque de phishing exitoso, entonces es importante que pueda detectar y reaccionar de manera oportuna. Tener una plataforma de seguridad de datos ayuda a aliviar parte de la presión del equipo de seguridad/TI al alertar automáticamente sobre el comportamiento anómalo del usuario y los cambios no deseados en los archivos. Si un atacante tiene acceso a su información confidencial, las plataformas de seguridad de datos pueden ayudar a identificar la cuenta afectada para que pueda tomar medidas para evitar daños mayores.
¿Qué hacer si has recibido un intento de Phishing?
Microsoft da la siguiente importante información: lo más importante es reportar la fuente de phishing. Lo primero que hay que hacer es seleccionar el mensaje sospechoso, escoja Informar y luego escoja Suplantación de identidad. Esta es la forma más rápida de reportar y eliminar el mensaje de su Bandeja de entrada, esto ayudará a mejorar los filtros de tu mensajería preferida para ser menos suceptible de este tipo de ciberataques.
Si sospecha que puede haber caído en un ataque de phishing sin darse cuenta, hay algunas cosas que debe hacer. Mientras está fresco en su mente, escriba tantos detalles del ataque como pueda recordar. En particular, intente anotar cualquier información como nombres de usuario, números de cuenta o contraseñas que haya compartido.
Cambie inmediatamente las contraseñas de las cuentas afectadas y en cualquier otro lugar donde pueda usar la misma contraseña. Mientras cambia las contraseñas, debe crear contraseñas únicas para cada cuenta, y es posible que desee ver Crear y usar contraseñas seguras. Confirme que tiene activada la autenticación multifactor (también conocida como verificación en dos pasos) para cada cuenta que pueda. Ver Qué es: autenticación multifactor
Si este ataque afecta las cuentas de su trabajo o escuela, debe notificar a la gente de soporte de TI en su trabajo o escuela sobre el posible ataque. Si compartió información sobre sus tarjetas de crédito o cuentas bancarias, es posible que también desee comunicarse con esas compañías para alertarlas sobre un posible fraude. Si ha perdido dinero o ha sido víctima de un robo de identidad, denúncielo a la policía local.
Antes de implementar una nueva estrategia para proteger a tu empresa de phishing, es necesario analizar a detalle los beneficios y ventajas que puede ofrecer, así como los retos que representaría para tu equipo una consulta adecuada. Si te interesa conocer más sobre esto, descubre las soluciones que ofrece y ofrecerá Whiteshield a través de una consultoría que puede ayudar a resolver todas tus dudas.
