Experto | Ataque de phishing, ¿cómo protegerse?

Publicado por Service Communication en Deontología y Legislación 15 octubre 2019 Tiempo de lectura: 3 min

Aunque han surgido nuevas y sofisticadas técnicas de software (como el «vishing» por teléfono o el «smishing» vía SMS), el phishing (o suplantación de identidad) sigue siendo una de las prácticas fraudulentas más comunes. Generalmente, el correo electrónico sigue siendo explotado de forma masiva por los atacantes (el 93 % de las amenazas se realizaron por este medio en 2018*) «Sus datos deben actualizarse», «Debe introducir sus datos bancarios», «su contraseña ha caducado»… Estos mensajes (o malware en archivos adjuntos) que recibes y que, sin embargo, parecen legales, son el resultado de una práctica de manipulación psicológica con fines de fraude que está demasiado bien controlada.

«Hoy en día, el 97 % de las personas son incapaces de identificar un e-mail fraudulento.»

2018, una buena pesca

El 2018 fue un año récord para las campañas de phishing que se duplicaron en comparación al 2017. Se habla entonces de un 25 % de particulares afectados, un 20 % de colectivos y un 14 % de empresas*. Según un informe de investigación del IDG*, los empleados que han sido víctimas de este tipo de ataques han provocado grandes brechas de seguridad durante el último año. Entre otros, hablamos de un 61 % de archivos comprometidos de clientes, un 56 % de pérdida de secretos comerciales o de propiedad intelectual y un 49 % de robos de Información de Identificación Personal (IPI, por sus siglas en francés)*. Más concretamente, los hackers se suelen centrar en un campo en particular (en 2018, por ejemplo, el 44 % de los ataques fueron dirigidos al sector financiero, sobre todo, a través de bancos o de sistemas y formas de pago*).

Esta notable subida del número de amenazas es el resultado de eventos importantes que se celebran durante el año, como el Black Friday o fiestas nacionales. Por ejemplo, la Copa Mundial de la FIFA en Rusia hizo estallar el año pasado los contadores. De hecho, durante esta época, un gran número de e-mails fraudulentos presentaban los supuestos concursos para ganar entradas con todos los gastos pagados para asistir a los partidos.

2019, ¿una preocupación real para las empresas?

¡Eso parece! Hoy en día, el 76 % de las empresas reconoce que la seguridad informática es una preocupación real, ya que, si los riesgos son numerosos y variados, también lo son sus consecuencias. Entre las preocupaciones más recurrentes de los líderes de las empresas encontramos:

  • La divulgación de información confidencial (63 %)
  • El impacto negativo sobre la reputación de la empresa (38 %)
  • Las pérdidas de explotación/el volumen de ventas (30 %)
  • Las pérdidas financieras directas (28 %)
  • La extorsión cibernética (17 %)

Algunos afectan únicamente a la esfera financiera, pero otros pueden comprometer la totalidad de una red corporativa.

¿Cuáles son las formas de protección?

Afortunadamente, ahora existen herramientas técnicas que permiten reducir el número de intentos de phishing. Sin embargo, debido a que son cada vez más complejos, la educación de los usuarios en la detención de los e-mails fraudulentos juega un papel crucial. De hecho, el estar atentos es la forma más segura de protegerse. Las empresas son conscientes de su exposición, pero no de los medios que existen para reducirla. Hoy en día, el 50 % reconoce que no ha formado a sus equipos en seguridad informática*. Aquí tienes algunos consejos para adoptar un comportamiento más cauteloso:

  • Comprueba las direcciones de los remitentes y los enlaces URL que aparecen, en resumen, estate alerta;
  • No introduzcas tu información personal y/o profesional si tienes alguna sospecha sobre la página web;
  • No te fíes de los e-mails de carácter urgente que te exigen una acción rápida bajo pena de castigo o supresión de la cuenta;
  • Sospecha de los e-mails con archivos adjuntos de remitentes desconocidos
  • Si crees que has sido víctima de un ataque de phishing, cambia tu contraseña inmediatamente

También es posible denunciar los mensajes sospechosos a Signal Spam y a páginas web de suplantación de identidad como Phishing Initiative.

¡Asegúrate de que la suplantación de identidad no le pase a otros! El 21 % de las empresas encuestadas reconocen haber sido víctimas de ataques informáticos en los últimos 12 meses*. Para saber si podrías ser víctima de uno, la incubadora tecnológica de Google, Jiqsaw, ha lanzado un test para probar tu capacidad para diferenciar un e-mail de phishing de uno normal. Entonces, ¿sabrías reconocer un intento de suplantación de identidad?

Autor: Paul Montus, Gestor de proyectos de seguridad

*Fuentes: Verizon; Intel Security 2015; IDG «2018 US State of Cybercrime»; Kaspersky Lab «Baromètre 2018 de la cybersécurité»

 

Artículos similares