Índice
Para evitar ser víctimas del phishing es esencial la concienciación, la formación, actuar con cautela y emplear el sentido común antes de hacer clic
Te llega a tu gestor de email un correo electrónico que parece provenir de tu entidad bancaria. Al abrirlo, la apariencia visual se asemeja a la de las comunicaciones de la compañía. En él te informan de que debes acceder a tu cuenta bancaria online para actualizar tus datos y te piden que hagas clic en un enlace. Aterrizas en una página de login que parece verídica e introduces tus credenciales de acceso. Y, así, es como los delincuentes pueden acceder a tu cuenta bancaria o, incluso, a la de tu empresa si el ataque se dirige contra tu email corporativo.
Esta es la operativa del phishing, una tipología de ciberataque que causa millones de pérdidas económicas y graves problemas a empresas y profesionales de todo el mundo.
Para evitar ser víctimas del phishing, los profesionales y las empresas deben concienciarse sobre los peligros de estas amenazas y pueden seguir una serie de consejos para limitar los riesgos.
¿Qué es exactamente el phishing?
El phishing se trata de una técnica de ingeniería social. ¿Qué es la ingeniería social? Un ámbito de la ciberseguridad que engloba a todas las técnicas que emplean elementos psicológicos y sociológicos para engañar a las víctimas e inducirlas a realizar una determinada acción: facilitar sus credenciales para acceder a cuentas, descargar y abrir un archivo, hacer clic en un enlace, proporcionar información confidencial a través del email o las redes sociales…
Dentro de la ingeniería social, el phishing es la técnica más usada por los delincuentes. Su operativa básica es la siguiente:
• Los delincuentes se hacen con direcciones de email corporativas de las empresas que desean atacar.
• Envían emails suplantando la identidad de otras compañías: empresas que comercializan software empresarial, entidades financieras, compañías de paquetería, multinacionales del retail…
• En estos correos se busca conseguir que la víctima accede a una página de login y facilite sus credenciales de acceso sin darse cuenta, entre en una web infectada con malware o descargue un archivo que contenga un programa malicioso que permite infectar su dispositivo y acceder a la red corporativa.
Es decir, los ataques de phishing conjugan tácticas de manipulación con el desarrollo y ejecución de malware. Las campañas de phishing se han ido sofisticando con el paso de los años. De tal forma que han ido apareciendo variantes más complejas como:
- El spear phishing, en el que los atacantes afinan a la perfección quién es su víctima y, sobre todo, qué buscan conseguir con el ataque: credenciales para acceder a un programa o plataforma determinado, datos financieros concretos, etc.
- El whaling, una práctica focalizada en atacar a víctimas de alto perfil, es decir, directivos de las empresas y que, por ende, tienen acceso a información de mayor valor y disponen de perfiles de usuarios más elevados en los programas y sistemas corporativos.
¿A quién suplantan los delincuentes para realizar los ataques de phishing?
Hace unas semanas, Shein, un ecommerce chino que vende toda clase de productos a lo largo y ancho del mundo, informó de que su identidad estaba siendo suplantada en una campaña de phishing. Los delincuentes enviaban emails a sus víctimas obsequiándoles con cajas misteriosas a cambio de elaborar una encuesta. Después, les pedían a las víctimas que introdujesen sus datos personales y financieros para hacérselas llegar. Lo que en realidad hacían los atacantes era emitir cargos contra las cuentas bancarias o las tarjetas de crédito de sus víctimas.
La suplantación de identidad de Shein para lanzar una campaña de phishing no es una anécdota. Gran parte de las multinacionales más conocidas por el conjunto de la sociedad han sufrido suplantaciones similares. ¿Por qué? Tienen un amplio número de clientes y generan confianza en las víctimas del phishing.
De hecho, un informe sostiene que las tres empresas más suplantadas son Microsfot, Google y LinkedIn. ¿Por qué? Las dos primeras son compañías tecnológicas que proveen servicios a millones de empresas y profesionales en todo el mundo, pensemos, por ejemplo, en sus gestores de correo o sus navegadores web. Mientras que LinkedIn es la gran red social profesional del mundo, suplantar su identidad sirve para focalizar un ataque de phishing contra perfiles profesionales y cargos con responsabilidad en las empresas.
Otras de las compañías más suplantadas son otras de las grandes tecnológicas del mundo, como Apple y Amazon, compañías de paquetería, entidades bancarias, otras redes sociales y plataformas de booking como Airbnb.
Es más, al calor de la campaña de la Renta 2023, han proliferado ataques de phishing que suplantan, directamente, a la Agencia Tributaria.
¿Cuáles son las consecuencias del phishing para las empresas?
Si el phishing genera un daño reputacional de gran calibre a las grandes corporaciones cuya identidad se suplanta, su impacto es aún mayor en las empresas que son víctimas directas de este tipo de ciberataques. Entre las consecuencias más destacadas de que un profesional facilite credenciales de acceso a programas corporativos o descargue documentos infectados en su dispositivo de trabajo nos encontramos con:
- Acceso indebido a cuentas bancarias, pero también a cuentas corporativas en servicios críticos como los software de gestión o el gestor de correo.
- Cargos ilegítimos a cuentas bancarias empresariales.
- Suplantación de la identidad de las empresas para cometer fraudes financieros.
- Secuestro de cuentas en redes sociales.
- Robo, secuestro y exfiltración de datos de los clientes, los trabajadores y los proveedores.
- Venta de información confidencial como documentos de estrategia empresarial o propiedad industrial e intelectual.
- Parálisis de los procesos de negocio hasta que se recuperen los datos robados y los sistemas y equipos infectados.
Estas consecuencias se traducen en:
- Cuantiosas pérdidas económicas directas, sobre todo si se ve afectada la continuidad de negocio.
- Menoscabo de la actividad empresarial, pérdida de competitividad, daños reputacionales ante clientes y proveedores.
- Sanciones económicas y conflictos legales con clientes, trabajadores y socios comerciales.
De ahí que para proteger a las pymes de los ciberataques sea fundamental tomarse en serio la amenaza que supone el phishing para los profesionales y las empresas.
5 consejos que deben seguir las empresas para evitar que sus profesionales sean víctimas del phishing
¿Qué pueden hacer las empresas y los profesionales para evitar ser víctimas del phishing? En primer lugar, han de actuar con sentido común. Además, pueden implementar cinco actuaciones que contribuirán a mejorar su capacidad de prevenir, detectar y actuar ante ataques de phishing.
1. Elaborar políticas de seguridad para evitar que los profesionales lleven a cabo prácticas peligrosas
En primer lugar, las empresas deben crear guías de buenas prácticas para que sus plantillas sepan cómo deben actuar para limitar los riesgos de ser víctimas de phishing. ¿Qué medidas deben incluirse en estas guías o políticas de seguridad?
- No abrir emails sospechosos, eliminarlos e informar a los responsables de la seguridad corporativa.
- Comprobar siempre la dirección de los emails, puesto que muchas veces un correo tiene apariencia de legitimidad, pero la dirección desde la que se envíe no se ajusta a las direcciones estándares de la compañía cuya identidad ha sido suplantada.
- Desconfiar si un email recurre a generar una sensación de urgencia para que el profesional lleve a cabo una acción.
- No entablar comunicaciones con direcciones sospechosas y, desde luego, no facilitar información crítica sobre la empresa y sus clientes a través del email o las redes sociales.
- No descargar ningún archivo ni hacer clic en ningún enlace a menos de que se tenga plena confianza de que la fuente del email es fiable.
- Si se descarga un archivo sospechoso, se debe eliminar antes de ejecutarlo y poner en aviso al profesional a cargo de la seguridad.
2. Contar con antivirus y EDR para detectar y detener malware
Si, a pesar de las precauciones que acabamos de listar, un actor hostil tiene éxito y logra engañar a su víctima, es fundamental que la empresa disponga de un antivirus y un sistema EDR para detectar cualquier malware presente en un equipo corporativo y facilitar su bloqueo para que no se expanda por todos los sistemas de la empresa.
En este sentido, los EDR suponen una capa de seguridad extra a la actuación de un antivirus y agilizan la detección y respuesta ante incidentes. Lo que es de gran valor si tenemos en cuenta que los malware que emplean los delincuentes son cada vez más complejos y se ofuscan mejor.
Si el anterior consejo estaba centrado en hacer frente a la dimensión de ingeniería social de los phishing, este consejo para evitar ser víctimas de esta técnica se focaliza en cómo bloquear el despliegue de los programas maliciosos.
3. Limitar los privilegios de los usuarios para evitar la expansión de los ataques
Otra medida crítica para contener los ataques de phishing si los delincuentes consiguen que sus víctimas ejecuten malware sin querer o faciliten sus credenciales de acceso a programas y sistemas corporativos es la limitación de privilegios de los usuarios.
¿Por qué? Si un usuario con privilegios de administrador es atacado con éxito, los delincuentes pueden moverse por todos los sistemas corporativos y el nivel de impacto del ataque ser notablemente mayor. En cambio, si los privilegios están bien acotados, la posibilidad de realizar movimientos laterales será inferior y, sobre todo, requerirá que los delincuentes empleen más recursos y dispongan de mayores conocimientos para acceder a la información corporativa.
4. Formar y concienciar a la plantilla, comenzando por la dirección
Los expertos en ciberseguridad ofrecen cursos para explicar a los directivos y trabajadores en qué consiste el phishing, cómo se puede detectar una campaña de ingeniería social y qué se debe hacer a continuación para evitar que los ciberataques tengan éxito.
La formación es esencial para que los profesionales sean conscientes de los riesgos que corren las empresas y puedan llevar a cabo buenas prácticas en materia de ciberseguridad.
Además, la formación es crítica en lo relativo a los cargos directivos de una empresa. ¿Por qué?
- Estos perfiles son víctimas prioritarias para las campañas de phishing más complejas y ambiciosas.
- Es fundamental que los directivos entiendan los ataques de phishing para que aprueben medidas de seguridad que contribuyen a hacerles frente.
5. Someterse a pruebas de phishing
Los profesionales de ciberseguridad también diseñan test específicos para analizar el comportamiento de una empresa y sus trabajadores ante una campaña de phishing. Para ello, estudian los activos de la organización y sus procesos de trabajo y, luego, ponen en marcha una prueba de seguridad en la que replican la forma de proceder de los delincuentes con tres objetivos claros:
- Comprobar el nivel de resiliencia de una empresa ante los ataques de phishing.
- Detectar los errores que se cometen para subsanarlos y prevenir ataques reales.
- Formar a los profesionales de una manera práctica para que interioricen las buenas prácticas que deben realizar.
En definitiva, ante el alud de campañas de phishing que llegan a los emails corporativos, las empresas tienen que adoptar una postura proactiva y tomar medidas para evitar ser víctimas del phishing. Al fin y al cabo, están en juego sus finanzas, reputación y modelo de negocio.