Entrar en contacto con estafas de phishing se ha convertido en algo habitual para las empresas. La combinación de costes iniciales bajos y un alto índice de éxito hace que el phishing siga siendo popular. Los ciberdelincuentes utilizan el phishing como precursor de muchos ataques peligrosos, como el ransomware, la apropiación de cuentas y los ataques contra el correo electrónico empresarial (BEC). 9 de cada 10 ciberataques comienzan con phishing. Aunque las repercusiones de un ataque de phishing con éxito pueden ser devastadoras para las organizaciones, el conocimiento y la concienciación pueden ayudar a detener un ataque en seco mediante la detección y eliminación oportunas. Siga leyendo para obtener recomendaciones sobre cómo defenderse a sí mismo y a su organización contra los ataques de phishing.

• 10 consejos de concienciación sobre el phishing:

En un típico ataque de phishing, los estafadores utilizan una comunicación de apariencia legítima, normalmente un correo electrónico, para pedir a los usuarios que descarguen un archivo malicioso o para invitarles a visitar un sitio de phishing que imita páginas de inicio de sesión legítimas, con el fin de engañar a las víctimas para que entreguen datos confidenciales como credenciales, información financiera e información de cuentas.

He aquí algunos consejos que te ayudarán a detectar y detener una estafa de phishing cuando se cruce en tu camino:

1.Asume que los enlaces y archivos adjuntos de los mensajes sospechosos son maliciosos:

A menos que estés seguro del remitente, evita en todo momento hacer clic en enlaces o archivos adjuntos incrustados. Los estafadores suelen utilizar direcciones falsas de proveedores o terceros para ganarse tu confianza. Si haces clic en el enlace, puede que te lleve a un sitio web falso y te pida que divulgues tus credenciales de usuario o los datos de tu cuenta. Si no está seguro sobre un enlace, visite el sitio web directamente a través de su navegador en lugar de hacer clic en los enlaces incrustados.

Muchos estafadores también utilizan enlaces de sitios web con “typosquatting” en correos electrónicos de phishing para captar a personas que no están prestando atención. Se trata de una táctica utilizada por los estafadores que registran un error ortográfico común del dominio de otra organización para robar la información personal de un usuario. Busque “https” en la dirección. La “s” indica que el sitio web está cifrado, y la mayoría de las empresas legítimas han adoptado esta estructura de dominio seguro para proteger la información de sus usuarios.

Además, evite descargar cualquier archivo adjunto de una fuente no fiable, ya que puede conducir a la instalación involuntaria de malware, como virus, spyware y ransomware. El malware proporciona a los actores de amenazas acceso ilimitado a sus sistemas y datos.

Consejo: Comprueba siempre la dirección del remitente y nunca abras un enlace o descargues un archivo adjunto de un correo electrónico sospechoso.  

2. No asumas automáticamente que los remitentes son legítimos:

Hoy en día, los ciberdelincuentes utilizan herramientas avanzadas para falsificar la dirección de correo electrónico de una marca famosa con gran precisión. Si un correo electrónico le pide información sensible, debe ponerse en contacto con el remitente a través de otro canal de comunicación en lugar de responder al correo electrónico antes de divulgar cualquier información.

Los ciberdelincuentes también pueden enviarle correos electrónicos desde las cuentas comprometidas de uno de sus colegas. Por lo tanto, si te encuentras con un posible correo electrónico de phishing, ponte en contacto directamente con el colega antes de responder.

Consejo: Comunícate directamente para evitar caer en las trampas de los phishers.

3. Cuidado con los saludos o apariencias genéricas:

La mayoría de las organizaciones personalizan sus correos electrónicos para establecer mejores relaciones con sus clientes, por lo que un correo electrónico con un saludo genérico, como “Estimado señor o señora”, podría ser una señal de advertencia de un correo electrónico de phishing. Evite hacer clic en los enlaces y archivos adjuntos de estos correos electrónicos, y realice las diligencias debidas antes de interactuar con ellos.

Consejo: Si se trata de un encabezado genérico, ignora el correo electrónico.

4. Mantente alerta ante la mala ortografía y la mala gramática:

Otra señal de alarma en un correo electrónico son las palabras mal escritas o la gramática incorrecta. Muchas personas cuya lengua materna no es el inglés utilizan herramientas de traducción para redactar correos electrónicos de phishing, lo que provoca irregularidades gramaticales u ortográficas. Por desgracia, la llegada de Chat GPT y GTP 3 está facilitando a los malos actores la redacción de mensajes creíbles.

A veces, los phishers utilizan una ortografía deficiente y una gramática incorrecta para evitar los filtros de spam que bloquean estos ataques. Varios profesionales de la ciberseguridad también creen que los spammers utilizan errores en sus mensajes de phishing para engañar y concienciar a las personas. Puedes mantenerte fuera del radar de los ciberdelincuentes no interactuando con el correo electrónico o denunciándolo como spam.

Consejo: la mayoría de las empresas cuentan con un equipo de redacción, por lo que si hay errores evidentes, lo más probable es que se trate de un correo electrónico de phishing.  

5. Desconfía del lenguaje urgente y de las llamadas a la acción inmediatas:

Los estafadores no quieren darte tiempo para pensar e intentan crear una falsa sensación de urgencia, obligándote a actuar de inmediato. Por ejemplo, los actores de amenazas envían correos electrónicos falsos a un empleado que dice ser alguien de la alta dirección. Piden a los empleados que envíen inmediatamente información comercial confidencial o realicen una transacción financiera no autorizada. Si ha recibido algún correo electrónico pidiéndole que actúe con rapidez, debe ponerse en contacto directamente con el remitente a través de cualquier otro canal de comunicación.

Consejo: Nunca respondas rápidamente a un correo electrónico que te pida una acción inmediata. Piensa, haz una pausa y habla con el remitente antes de actuar. 

6. Proteje tu información personal:

Uno de los principales objetivos de los phishers es robar tu información personal, como nombre, dirección de correo electrónico, puesto de trabajo, número de teléfono, dirección e información sobre cuentas bancarias, a través de campañas de phishing. Si disponen de su información personal, pueden utilizar trucos de ingeniería social engañosa para lanzarle ataques selectivos. Además, nunca revele información sobre sus colegas, acceso remoto a la red, prácticas organizativas o estrategias a una persona o entidad desconocida.

Consejo: Nunca proporciones información personal a menos que sea a una persona o sitio web de confianza. 

7. Acostúmbrate a marcar los mensajes de spam:

Marcar un correo electrónico como spam ayuda a su proveedor de correo electrónico a filtrar los correos de forma eficaz y enviarlos directamente a la carpeta de spam o bloquearlos por completo. El cliente también bloquea correos similares, protegiéndole de nuevos intentos de phishing.

Consejo: No te limites a eliminar los correos electrónicos de phishing; márcalos.

8. No olvides que el phishing va más allá del correo electrónico:

En los últimos años, los actores de amenazas han desarrollado muchas formas innovadoras, aparte del correo electrónico, de lanzar ataques de phishing. Una de ellas es el smishing, en el que los estafadores envían mensajes de texto falsos que parecen proceder de una fuente legítima, como un banco o un sitio de confianza. Estos mensajes también tienen un sentido de urgencia y piden al destinatario que haga clic en un enlace o responda con información personal.

Otro método de phishing es el vishing, que consiste en estafar a través de una llamada telefónica. Los piratas informáticos utilizan VoIP para falsificar los identificadores de llamadas y hacer que parezcan legítimas.

Consejo: No proporciones información personal en una llamada o a través de SMS si conoces su legitimidad. 

9. En caso de duda, ponte en contacto con tu departamento de informática:

Si encuentra un posible correo electrónico de phishing, comunique los detalles a su departamento informático y márquelo como spam. Su equipo de TI puede verificar la autenticidad del correo electrónico y darle instrucciones sobre cómo proceder. Si has hecho clic en un enlace o descargado un archivo adjunto, asegúrate de que el equipo de TI lo sepa.

Consejo: informar a tiempo de un correo electrónico de phishing a tu departamento de TI puede reducir drásticamente la duración y el impacto de un ataque de phishing. 

10. Utiliza un software de simulación de phishing para aumentar la concienciación:

Un software de simulación de phishing aprovecha los ejercicios de phishing que se parecen a las ciberamenazas del mundo real con las que se pueden encontrar los usuarios. Permite a los empleados detectar y eliminar ataques de phishing en un entorno seguro. Esto ayuda a reducir los errores de los empleados, minimizando los riesgos cibernéticos para las organizaciones. La formación en concienciación sobre seguridad reduce hasta en un 70% las posibilidades de que una empresa sufra un desastre de seguridad.

Fuente: ID Agent