¿Sueles abrir todos los correos electrónicos o SMS que te
llegan y pinchas en los enlaces que llevan?
La ‘pesca por internet’ es el ataque de ciberseguridad más utilizado
y, también, uno de los más efectivos entre los hackers. Y aunque las empresas
son cada vez más conscientes de este tipo de amenazas, su uso se acentuó considerablemente
tras la pandemia del coronavirus.
Como empresa de Ciberseguridad,
en este artículo te vamos a dar unas pautas para evitar el phishing y saber
qué hacer ante de un ataque cibernético de estas características.
De la cantidad de estudios que circulan actualmente sobre la
materia, hemos querido destacar el informe ‘Stateof the Phish 2022’ de Proofpoint, que señala que 8 de cada 10 de los
ataques ejecutados durante el año anterior fueron exitosos. Mientras,
el 86% de las empresas encuestadas afirmaron que fueron víctimas de phishing.
Por su parte, durante el 2020 Google informó que llegó a detectar
cerca de 18 millones de correos electrónicos de suplantación de identidad
relacionados con la COVID-19, sobre todo emails cuyos remitentes se hacían pasar
por organizaciones benéficas y ONG.
Aunque los ataques de phishing más conocidos son los que se
hacen pasar por entidades bancarias, los ciberdelincuentes aprovechan las tendencias
y temas de actualidad, como puedes ser una crisis económica, para realizar este
tipo de estafa, que cada vez más va dirigidas a los particulares que al sistema
empresarial en sí.
El término ‘phishing’ proviene de la frase en inglés ‘password
harvesting fishing’. Traducido de forma coloquial al castellano quiere
decir “cosecha y pesca de contraseñas”, aunque con esta palabra nos
referimos la suplantación de identidad que utiliza un tercero para
aprovecharse de la confianza de un usuario.
Esta técnica basada en la ingeniería social, se utiliza para
obtener, de forma fraudulenta, información confidencial de los usuarios,
mediante el engaño, simulando ser otra persona o compañía.
En el caso de la suplantación de identidad mediante el
correo electrónico, los hackers incluyen enlaces para conseguir extraer los
datos, cuentas o información relevante y confidencial, de una persona o
entidad, si pinchas en ellos.
El gancho suele ser un reclamo para ganar más dinero o un
problema en la cuenta bancaria, en los casos relacionados con temas económicos.
Al igual que con el tiempo van mejorando las técnicas de hacking
ético para estar preparado ante un ciberataque, también evolucionan las
acciones malignas, que siempre aprovechan las nuevas tecnologías para seguir
creciendo. Así, podemos encontrar actualmente otros tipos de phishing:
·
‘Smishing’: muy similar, pero que utiliza los
mensajes de texto como forma de ataque.
·
‘Vishing’: mediante mensajes de voz.
· ‘Spearphishing’: suele suplantar la identidad de uno o varios empleados de una empresa (puede ser el CEO o un cargo importante) para dar autoridad a ese email y así llegar a más usuarios finales o a un contacto concreto.
Aunque existen diferentes técnicas y procesos para acceder a
las cuentas de una empresa o particular, normalmente los hackers suelen
acceder a la cuentas o datos del usuario minutos después de que este haya
entrado en los enlaces “cebo”.
Además, en muchas ocasiones, estos accesos fraudulentos se
ejecutan de forma manual y no automática, como suele hacerse en otros tipos de
ciberataques.
Por todo ello, es importante saber detectar que estamos
siendo víctimas de un ataque de phishing, y actuar con rapidez conociendo las
medidas que hay que tomar para que los ciberdelincuentes no logren su objetivo
o el daño sea el menor posible.
Antes de facilitarte ciertos consejos para evitar el
phishing, es necesario que sepas cómo reconocer si has sido víctima de un
ciberataque de estas características.
Si tienes sospechas de que hubieran podido acceder a tu
cuenta de forma fraudulenta realiza las siguientes acciones:
·
Comprueba si tienes notificaciones sobre aviso
de inicio de sesión, en la bandeja de entrada o en los “elementos enviados”
(papelera).
·
Mira el registro de actividad para saber si se
han ejecutado ciertas acciones en tu cuenta como, por ejemplo, marcar los
mensajes como no leídos, en el caso de que tu proveedor de correo te ofrezca
este servicio.
·
Revisa la carpeta de mensajes enviados por si
hubiera algún correo que no lo hubieses mandado tú o algún asunto extraño en la
bandeja de mails.
·
Revisa la papelera o la carpeta de correos
eliminados por si hubiera avisos de “correo fallido” (delivery failure).
En el caso de que estés seguro de un ataque de phishing, cambia la contraseña y comprueba si el atacante ha modificado alguna de las configuraciones para seguir teniendo control de tu cuenta, como el sistema de recuperación de la password o claves de acceso o el reenvío de emails a otra dirección de correo.
Al igual que te explicamos en nuestro anterior post sobre prevenir
ciberataques, para evitar el phishing es necesario que apliques ciertas
prácticas y rutinas, tanto en el uso de tu cuenta de correo como el de tu
ordenador o dispositivo móvil.
·
La primera recomendación para prevenir un ataque
de phishing es aplicar el sentido común. Si recibes un mail de un
destinatario que no conoces, ofreciéndote un regalo o similar, ya tienes la
primera sospecha.
Y ante la duda, es mejor no abrir ese
correo o clicar en ese mensaje.
·
Intenta identificar algunas señales claras de
intento de estafa, como por ejemplo si son nombres muy similares a empresas
reales y el asunto del mail viene en otro idioma en el que normalmente recibes
los mensajes de ese destinatario.
·
Introduce tus datos confidenciales solo en
páginas webs que utilicen protocolos seguros como “https://”
·
Mejora la seguridad de tu móvil, tablet u
ordenador con un antivirus u otros métodos.
·
Activa la autenticación en dos pasos en
tus cuentas.
·
Mantén los programas y softwares que
utilices siempre actualizados.
·
Revisa periódicamente tus cuentas de correo por
si ves algo sospechoso.
·
Mantente al día en los medios o páginas
especializadas, sobre los avances de los tipos de ‘malware’ como el phishing u
otro tipo de ciberataque, y otros métodos de seguridad que suelan utilizarse,
como los sistemas
SIEM.
Aunque las compañías en general, suelen estar concienciadas de los
peligros que conlleva internet, en algunas de ellas, sus empleados luego no
aplican estas medidas en sus cometidos. Luego, cuando ya ocurre algún tipo de incidente, no queda más remedio que recurrir a un análisis forense informático, para poder depurar responsabilidades.
Por ello, es importante impulsar la formación en seguridad
informática y que sea parte de la filosofía de esta empresa, sobre todo si
usan diariamente procesos digitales.
Como expertos en Ciberseguridad, las consultorías tecnológicas de Berna Network incluyen este tipo de servicios formativos y de prevención de ataques cibernéticos, además de pautas para evitar el phishing u otros malwares.
financiado por la Unión Europea a través de los fondos NextGenerationEU