PHISHING

El phissing es el acto de intentar engañar a quién lo recibe por un correo electrónico malicioso así lo abra y siga sus instrucciones; suelen adoptar la identidad falsa de un organismo estatal o alguna marca de confianza con el consumidor.

El correo electrónico de phishing puede tener adjunto un archivo en Word o en PDF y en el momento que lo abres en tu ordenador, un malware lo infecte; también puede pasar que en vez de documentos sea una URL en el cuerpo del mensaje y dando a dicho enlace sea para obtener información privada de tu ordenador como contraseñas y nombres de usuario o se descargue algún malware malicioso.

¿Cómo lo consiguen?

Para lograrlo los ciberdelincuentes sustraen correos electrónicos robadas, o bien, con sus propios correos electrónicos se hacen pasar por sus remitentes. Sólo basta editar el encabezado de su correo electrónico de poner pepito@gmail.com a info@subanco.com.

No es una práctica fácil de erradicar ya que los servidores de los correos electrónicos tienen que estar bien configurados para detectar un posible correo malicioso, pero no sólo el servidor receptor tiene que estar configurado para ello si no que también el que lo envía, por lo que la persona que suplanta a posta una identidad desactivará esta opción del servidor para no ser descubierto. Por lo que es difícil que se active una autenticación.

Tipos de phishing

Phishing engañoso. Este es el método de phishing más frecuente, por el que los ciberdelincuentes suplantan la identidad de una empresa o dominio legítimos e intentan robar información de identificación personal (PII) o credenciales de inicio de sesión. Esta forma de phishing a menudo carece de personalización y se difunde sin centrarse en un objetivo concreto. El atacante espera que, si el volumen de mensajes es muy alto, acabará abriéndolos el número de usuarios suficiente para lograr su objetivo.

Un ejemplo de este tipo de estafa sería un correo electrónico de phishing de un «banco» que se envía a un gran número de personas, esperando que algunos de los destinatarios resulten ser clientes del banco suplantado. El asunto del correo electrónico suele escribirse de manera que genere una sensación de urgencia; por ejemplo, «Han robado su cuenta bancaria, actualice su contraseña inmediatamente» o «Factura vencida adjunta, páguela ahora para evitar acciones legales». Como se ha descrito anteriormente, una vez que se hace clic en el enlace y se envía la información, o se abre el archivo adjunto, el daño ya está hecho.

Spear-phishing. A diferencia de los correos electrónicos de phishing normales, los de spear-phishing están muy personalizados. El objetivo final es el mismo, engañar al destinatario para que haga clic en un enlace URL o un archivo adjunto maliciosos; pero, en este caso, el mensaje contiene el nombre, la empresa o el cargo de la víctima, o se mencionan a sus compañeros de trabajo y contactos. Estos detalles personales hacen mucho más probable que el usuario cometa el error de descargarse los archivos o de pinchar al enlace del contenido malicioso. Además, dada la proliferación de redes sociales y sitios web para hacer contactos profesionales, a los ciberdelincuentes les resulta relativamente sencillo reunir la información personal necesaria para redactar un mensaje convincente.

Whale-phishing, fraude dirigido a directores ejecutivos o ataques de correos electrónicos de empresa (BEC). Este tipo de phishing se dirige al equipo ejecutivo de una empresa con el fin de recopilar las credenciales de inicio de sesión de una «ballena» («whale»), es decir, un alto ejecutivo. Una vez robados estos datos, los ciberdelincuentes pueden suplantar su identidad, llevando a cabo lo que se conoce como fraude dirigido a directores ejecutivos a través de correos electrónicos de empresa (BEC), y autorizar transferencias bancarias u otras acciones de gran impacto. Un ejemplo de esto sería un correo urgente enviado «desde» la dirección de una directora ejecutiva al equipo de finanzas en el que autoriza una transferencia de fondos, porque está en China por negocios y necesita pagar urgentemente una factura a un proveedor del país. Entre 2014 y 2016, el fraude dirigido a directores ejecutivos afectó a 12 000 empresas, y supuso un coste de 2000 millones de dólares.

Reducción del riesgo de phishing en su negocio

Ofrezca formación al eslabón más débil. Para llevar a cabo el phishing, es necesario que un usuario abra o haga clic en algo malicioso. Por tanto, es de vital importancia formar a los empleados para que sepan reconocer, evitar e informar de los distintos tipos de phishing. Los ejercicios en los que se envían correos electrónicos de «phishing» falsos al personal de la empresa son muy útiles para enseñar a los usuarios a diferenciar entre un mensaje fiable de un proveedor y un correo electrónico de phishing con el asunto «Urgente: factura adjunta, consúltela y páguela ahora». Las empresas deben seguir un programa de formación y concienciación continua en toda la organización.

Recuerde instruir también a los directivos empresariales. Los ejecutivos son tan falibles como sus empleados, pero cualquier paso en falso que den en seguridad tiene consecuencias mucho más graves. El whale-phishing, el fraude dirigido a directores ejecutivos y los ataques BEC siguen propagándose y cada vez son más sofisticados, por lo que debe asegurarse de incluir a los directores en el programa de formación y concienciación de la empresa.

Revise los procesos de finanzas. El coste que supone hacer negocios no para de crecer en un mundo tan exigente e hiperconectado como el actual. Por este motivo, a menudo es necesario transferir urgentemente grandes sumas de dinero en todo el mundo, pero varía mucho el grado de rigor que se aplica o acepta en esos procesos. Estudie la posibilidad de implementar procesos que validen la legitimidad de dichas transferencias. A nadie le gusta incomodar, cuestionar o contrariar a un ejecutivo, pero es mejor pecar de prudente que ver desviados cientos de millones de las arcas de la organización.

Implemente varias capas de defensas de seguridad. Basándonos en el principio de que los ciberdelincuentes harán todo lo que esté a su alcance para eludir sus métodos de seguridad y que van cambiando sus tácticas, lo más recomendable es seguir una estrategia de seguridad de defensa en profundidad. Empiece por un filtro de correo electrónico que analice todos los correos entrantes; de esta manera, interceptará buena parte de los intentos de phishing. A continuación, utilice un producto antivirus para puntos de conexión que incluya protección contra phishing. Por último, implemente una solución que examine la solicitud web saliente en el caso de que un usuario haga clic en un enlace malicioso. Esta solución puede estar basada en DNS o en proxy.

Active la autenticación multifactorial. Incluso tomando todas las precauciones anteriores, existe la posibilidad de que sufra un ataque de phishing y el ciberdelincuente robe el nombre de usuario y contraseña de un empleado. Para mitigar este riesgo, implemente la autenticación multifactorial. Así se asegurará de que, aunque roben las credenciales, los agentes maliciosos no puedan acceder a las aplicaciones, los servicios ni la información confidencial de la empresa.

Cerrar menú