¿Qué es el Phishing?

phising

Las comunicaciones de hoy en día están regidas por el internet: correos electrónicos, videollamadas, aplicaciones de mensajería y más herramientas que utilizamos día a día en nuestra vida personal y empresarial para comunicarnos de forma más rápida y sencilla.

Sin embargo, todas estas herramientas tienen un problema en común: ninguna está exenta de sufrir ataques informáticos con el objetivo de robar información personal o empresarial, e incluso infiltrar programas maliciosos que puedan comprometer los sistemas de toda una empresa. Por eso el día de hoy hablaremos de Phishing.

¿Qué es el Phishing?

La definición de Phishing es bastante sencilla, en pocas palabras, phishing un método de ataque cibernético que se produce con mayor frecuencia a través de correos electrónicos y mensajes de texto, cuyo objetivo es intentar engañar a la víctima para que crea que una entidad fiable necesita algo de ti, ya sea dinero, datos identificables o credenciales de inicio de sesión.

Estos atacantes camuflan sus mensajes e incluso sus direcciones de correo remitente para parecerse a entidades de confianza como la empresa donde trabajas o algún proveedor de servicios, esperando que ingreses tus datos a una plataforma fraudulenta. Es importante conocer este tipo de ataques, ya que pueden comprometer no sólo tu información personal, sino también la de tus empleados o de toda la empresa.

¿En qué consiste el Phishing?

Como te hemos contado, el phishing inicia cuando tú o una persona de tu empresa recibe alguna comunicación camuflada y con mensajes atractivos para la víctima tales como: tu contraseña está por vencer, has recibido un mensaje importante, etc. Este mensaje está específicamente diseñado para parecer que viene de alguna fuente fiable: la empresa, algún proveedor de IT o incluso un cliente. Si el mensaje logra engañar a la víctima, esta es dirigida algún tipo de sitio o plataforma en donde se le solicitará compartir información confidencial. En algunas ocasiones también se descarga un malware o virus en su computadora.

Pero, ¿cómo es que logran engañar a las personas para abrir correos fraudulentos? Pues los ciberdelincuentes tienen ciertas estrategias: en primer lugar, identifican a un grupo de personas, normalmente dentro de una organización y las establecen como su objetivo. En segundo lugar, crean correos electrónicos y mensajes de texto con cierto nivel de personalización y que parecen legítimos pero que en realidad contienen enlaces a sitios o descargas peligrosos, e incluso archivos adjuntos con malware, estos mensajes buscan engañar a sus objetivos para que realicen una acción arriesgada, como entrar a un sitio que no conocen. En resumen, los ataques de phishing tienen estas características:

  • Los atacantes, también llamados phishers utilizan emociones como el miedo, la curiosidad, la urgencia y la codicia para alentar a sus víctimas a abrir los enlaces fraudulentos o los documentos adjuntos a sus mensajes.
  • Los ataques de phishing están elaborados para que parezcan provenir de empresas y personas legítimas, aunque realmente no lo sean.
  • Los ciberdelincuentes están creando nuevas técnicas y estrategias continuamente para engañar a los cibernautas incautos, por lo que es importante tener mucha cautela.
  • Seas una persona natural o dueño de una empresa, es importante que sepas que un solo ataque de phishing exitoso es suficiente para comprometer todos tus datos personales o empresariales, e incluso comprometer toda tu red, por lo que siempre es importante pensar antes de hacer clic en cualquier mensaje.

Peligros del Phishing

El phishing en informática tiene múltiples riesgos tanto para las personas como para las empresas, a continuación, te enumeramos algunos de ellos:

Riesgos del Phishing Personal

Algunos riesgos del phishing informático para las personas son:

  • Ser víctimas de robo de dinero desde tus cuentas bancarias
  • Cargos fraudulentos en tus tarjetas de crédito
  • Perder accesos a tus carpetas de archivos, fotos y más
  • Publicaciones falsas en tus cuentas de redes sociales
  • Ciberdelincuentes haciéndose pasar por ti para engañar a tu familia y amigos

Riesgos del Phishing en las Empresas

Por otro lado, los riesgos del phishing para las empresas son:

  • Pérdida de fondos empresariales por robo de cuentas bancarias
  • Vulneración de la información personal de trabajadores y clientes
  • Robo de bases de datos de clientes o información financiera de la empresa
  • Bloqueo de archivos y carpetas importantes
  • Daños a la reputación de la empresa

Ejemplos de Phishing

Como ya te hemos dicho en este artículo, el Phishing puede venir en varios formatos y, de hecho, los ciberdelincuentes cada vez crean más técnicas para esto. A continuación, te contamos los tipos de ataques de phishing que existen actualmente:

  1. Spear phishing: el spear phishing es una de las formas más especializadas de phishing empresarial, este se dirige a personas específicas en vez de a un gran grupo de personas. En esta modalidad los ciberdelincuentes realizan primero un trabajo de investigación sobre ciertos individuos, de forma que el mensaje de phishing enviado sea mucho más creíble. De acuerdo con algunos estudios, el 95% de todos los ataques a redes empresariales son el resultado de ataques perpetrados bajo esta modalidad.
  2. Phishing en Microsoft 365: Una de las formas más comunes de phishing, se trata de enviar un correo simple haciéndose pasar por Microsoft e indicando cosas como “debes actualizar tus datos” o “debes cambiar tu contraseña”, solicitando al usuario ingresar sus datos de acceso en una plataforma externa, pero camuflada.
  3. Emails corporativos: En esta modalidad los atacantes investigan y planean cuidadosamente para hacerse pasar por un proveedor o comprador de la empresa a la cual buscan atacar.
  4. Whaling: cuando los phishers van a por los “peces gordos” dentro de una organización como un CEO, por ejemplo, invierten bastantes recursos y tiempo para buscar el momento oportuno y realizar su ataque. En el whaling se toman tantas molestias porque un CEO o un alto mando de una organización tiene acceso a muchos datos sensibles y secretos de tu empresa.
  5. Phishing por redes sociales: Se usa este término para hablar sobre los phishers que investigan a sus víctimas a través de redes sociales primero, para conocer más sobre ellas previo al ataque.
  6. Phishing de voz: Un poco fuera del mundo del internet, pero con la misma dinámica, el phishing de voz se trata de llamadas falsas en las cuales una persona se hace pasar por algún agente interno de la organización o de un proveedor de servicios, buscando que la víctima comparta información sensible.

Correos de Phishing

Los correos de Phishing son la forma más extendida y utilizada por los delincuentes informáticos para obtener información sobre sus víctimas. Entonces, ¿cómo podemos identificar un correo de phishing de uno que viene de fuente confiable?

A continuación, te mostramos los 6 signos para identificar un correo de phishing:

  1. Tienen un saludo genérico, por ejemplo “señor” o “señora” en vez de colocar tu nombre o algo más elaborado.
  2. Siempre buscan tu información personal: número de DNI, seguridad social, contraseñas, tarjeta de crédito o cuenta bancaria, entre otros. Si te llega algún correo solicitando cualquiera de estos datos, ten mucho ojo.
  3. Botones con enlaces externos, los cuales normalmente dirigen a páginas también falsas para robarte información.
  4. Documentos adjuntos, los cuales vienen normalmente con un virus de computadora que te infectará en cuanto los descargues.
  5. La dirección del remitente es poco confiable o no es oficial, revísala cuidadosamente.
  6. Errores gramaticales y de escritura, ya que muchas veces estos ataques son perpetrados desde países foráneos.

¿Qué hacer si recibo un correo phishing?

Ahora que ya sabes cómo identificar un correo de phishing, ¿qué deberías hacer tú o tus colaboradores para evitar caer en estas trampas? Te lo contamos en tres simples pasos:

  1. No hagas clic en ningún enlace externo, ni tampoco respondas el correo.
  2. Reporta el correo con el personal capacitado del área de IT, ellos se encargarán de prevenir que estos correos lleguen a ti en un futuro.
  3. Elimina o envía el correo a la bandeja de spam.

Cómo protegerse del Phishing

En primer lugar, es importante mencionar que ninguna solución de ciberseguridad por sí sola tiene todas las respuestas ante la amenaza del phishing. Dentro de la empresa debe existir una cultura orientada hacia la ciberseguridad, pues como habrás visto ya, el phishing va dirigido a los empleados y personas que trabajan en las empresas, por lo que los empleados que estén capacitados siempre serán menos vulnerables ante este tipo de ataques.

Dicho y cubierto esto, pasemos a la siguiente pregunta.

¿Cómo prevenir el Phishing?

No existe una fórmula secreta para prevenir el phishing al 100%, sin embargo, aquí van algunos consejos interesantes:

  • Educa a tus colaboradores, la ciberseguridad no son sólo programas y antimalwares y no sólo depende del área de TI, en realidad la mejor ciberseguridad es aquella que se adopta como parte de la cultura organizacional.
  • Monitorea tus cuentas y las de tus empleados regularmente para evaluar actividades o correos inusuales.
  • Mantén tus programas actualizados: navegadores, correo electrónico, aplicaciones de mensajería y cualquier otra aplicación susceptible a recibir un mensaje de phishing.
  • Controla y ten cuidado con las ventanas emergentes en el navegador.
  • Nunca compartas información personal a través de correo electrónico.
  • Siempre lleva un registro de los ataques perpetrados a tu empresa.

Software de Ciberseguridad contra Phishing

Finalmente, una de las mejores alternativas contra el phishing es el utilizar un software de ciberseguridad que cubra este tipo de amenazas. Algunas de las ventajas de utilizar un software para prevenir las consecuencias del phishing es que cuentan con protección en tiempo real que se extiende a toda tu organización, siendo así una especie de filtro adicional en tu bandeja de correo electrónico.

Un buen software de ciberseguridad contra el phishing puede hacer que estos ataques sean inútiles de varias formas: desde la prevención evitando que sucedan en primer lugar, hasta la detección de amenazas o el envío de alertas hacia el personal sobre posibles correos de phishing o bloqueos al momento de acceder a enlaces fraudulentos, todo esto dentro de una misma herramienta.

Ahora que entiendes lo peligroso que puedes ser el phishing para una empresa, y si estás interesado en contar con un software de ciberseguridad queremos recordarte que ADM Cloud Services tiene a su equipo de expertos listos para asesorarte sobre el mejor producto que puedes adquirir para mantener tus datos empresariales seguros.

Suscríbete al blog

Compartir en twitter
Twitter
Compartir en linkedin
LinkedIn