¿Qué es el phishing y cómo protegerse?
El phishing es una de las tres principales ciberamenazas actuales (1) que consiste en obtener información confidencial de una víctima de forma fraudulenta a través de técnicas de engaño.
De hecho, en muchas ocasiones los ciberdelincuentes incluso aplican estrategias de extorsión y chantaje para presionar a sus víctimas.
Los sectores más afectados por esta técnica de ingeniería social que va en aumento (+50% (2)) son la educación, finanzas y administración.
¿Cómo funciona el phishing y qué tipo de información busca conseguir?
En un ataque de phishing, los ciberdelincuentes se hacen pasar por entidades legítimas (como bancos, empresas o instituciones gubernamentales) e intentan que la persona objetivo del phishing divulgue datos personales o corporativos, contraseñas o información financiera sensible.
Por tanto, la información privada de una empresa, claves de acceso y datos sensibles bancarios, son el blanco perfecto de los ciberdelincuentes en este tipo de ciberataques.
Además, todos los niveles de la organización están expuestos a estos ataques de ingeniería social. De hecho, existen ciberataques de phishing especialmente dirigidos a CEOs y directivos o específicos para responsables de departamentos de compras y financieros (como campañas de Business Email Compromised o BEC).
¿Cómo protejo mi empresa de un ataque de phishing?
Existen algunos métodos y aspectos que, inequívocamente, alertan e identifican ataques de phishing. Conocerlos ayuda a detectar posibles casos de ataques en tu organización:
- Saber por qué medios se suele recibir un ataque de phishing – Concienciación
Una manera de estar alerta es saber los canales habituales por los que los atacantes de phishing suelen lanzar información masiva a millones de usuarios para tratar de engañarlos. Algunos ejemplos comunes incluyen:
- Correos electrónicos de suplantación de identidad:
Los ciberdelincuentes aparentan ser personas o instituciones legítimas (como bancos, clientes o proveedores de servicios) solicitando por mail a los usuarios que proporcionen información personal o financiera. Estos correos electrónicos suelen contener links maliciosos que redirigen a sitios web falsos. - Phishing por SMS / MMS (smishing)
Mediante mensajes de texto, los atacantes intentan engañar a las personas para que revelen información confidencial o realicen acciones no deseadas. Estos mensajes suelen simular ser enviados por entidades legítimas o contener premios falsos que requieren información personal para ser reclamados.
- Phishing telefónico (vishing)
Los ciberdelincuentes llaman por teléfono a las personas y se hacen pasar por representantes de empresas o instituciones de confianza. Utilizan tácticas de persuasión para obtener información confidencial, como números de tarjetas de crédito o contraseñas.
- Phishing en redes sociales
Los ciberdelincuentes también utilizan las redes sociales para llevar a cabo ataques de phishing. Crean perfiles falsos y envían mensajes haciéndose pasar por contactos conocidos. Estos mensajes suelen contener enlaces maliciosos y solicitudes de información personal.
Con estas técnicas, los ciberdelincuentes esperan “pescar” a algunos de estos receptores con la guardia baja, que piquen el “anzuelo” y les compartan información confidencial de la organización.
De ahí la importancia del factor humano en la ciberseguridad, es decir, de la concienciación y formación de los trabajadores. Cuanto más alerta esté el equipo, más difícil será caer en este tipo de ataques cibernéticos.
- Sé cauteloso y está atento para identificar casos de phishing – Ejemplos habituales
Otra manera de estar alerta es conocer el tipo de mensajes gancho y estilos que suelen utilizar los ciberdelincuentes en campañas de phishing.
Por un lado, los mensajes fraudulentos de phishing suelen utilizar un logo e identidad de marca de la empresa o persona que quieren suplantar para tratar de ganar credibilidad.
Por otro lado, suelen apelar al miedo y/o urgencia, intentando así que el receptor actúe rápidamente sin pensar mucho y siendo, por tanto, más vulnerable a caer en el engaño.
Además, detectar errores gramaticales, links de urls o direcciones no habituales pueden hacerte despertar sospechas. Revisa siempre los detalles del mensaje con calma antes de actuar.
En algunos casos, los mails de phishing llevan archivos adjuntos infectados con un software malicioso para robar la información confidencial del equipo del usuario. No hagas clic en los adjuntos si tienes dudas de la veracidad del mensaje recibido.
Te dejamos una infografía de UNAM con algunos ejemplos habituales:
- Mantente informado de la actualidad de ciberseguridad
Estar al día de las técnicas habituales de los ciberdelincuentes, soluciones de protección contra amenazas y la actualidad de ciberseguridad, es una manera efectiva de reforzar las barreras de acceso a tu organización.
Puedes mantenerte informado con los contenidos del blog de Neotica, así como vía LinkedIn y Twitter, donde semanalmente informamos de todas estas noticias.
- Analiza tu grado de exposición y protege tu empresa
Afortunadamente, hoy existen técnicas de ataques simulados (pentesting), herramientas para detectar amenazas o información confidencial expuesta en la red y brechas de seguridad.
Si necesitas analizar estos aspectos o formar a tu equipo para mejorar las barreras de protección humana en tu empresa con formación y concienciación en ciberseguridad, contacta a nuestros especialistas.
Phishing Quiz: Ponte a prueba. Descubre ahora si caerías en un ataque de Phishing
¿Quieres saber si tú o tu equipo caería en la trampa de un ataque de phishing?
Haz este test de nuestro partner Sonicwall y sal de dudas (en inglés).
Son menos de 5 minutos, pero puede mostrarte cómo de alerta está tu equipo a posibles ataques de phishing y permitirte corregir vulnerabilidades de ciberseguridad que tenga tu organización.
******
(1) Fuente: Agencia de la Unión Europea para la Ciberseguridad (ENISA) – https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
(2) Fuente: Informe ThreatLabz Phishing 2023.
