Protege a tu empresa de ataques de phishing, ¡no es solo correo electrónico!
Que no cunda el pánico, pero los ataques de phishing han aumentado un 350% desde la pandemia.
Además del doxing, el phishing es una de las estafas en línea más frecuentes y eficaces. Para poner en perspectiva la magnitud de los daños que causa, el phishing genera 1 billón de dólares más al año que las ventas totales de Walmart.
Cuando escuchas "phishing", lo primero que te viene a la cabeza es probablemente "correos electrónicos". Los ataques de phishing suelen pasar por los correos electrónicos en forma de archivos, PDFs, hipervínculos y otros formatos, aunque uses un correo temporal. Sin embargo, el phishing no siempre se lleva a cabo a través del correo electrónico.
Los ataques de phishing también pueden realizarse a través de mensajeros y otras plataformas de comunicación, que son igual de arriesgadas para sus datos y sistemas que el correo electrónico.
El phishing a través de aplicaciones de chat en sitios web como Facebook o LinkedIn es cada vez más común y esta variante utiliza una técnica similar a la de los correos electrónicos, pero se disfraza de forma diferente. Otras variantes notables de phishing son el spear phishing, el whaling y el phishing a través de SMS, también conocido como "smishing".
Tus sistemas se verán afectados por cualquier ataque exitoso que llegue a tus dispositivos, independientemente del método de infiltración del ataque. Cualquier enlace peligroso en el que se haga clic o cualquier información sensible que se facilite perjudicará a tu empresa, independientemente de cómo se produzca.
Cómo puedes proteger a tu empresa de todos los tipos de phishing
Que una persona sucumba a un ataque de phishing a través de una plataforma de mensajería o un SMS puede ser tan perjudicial como que un individuo sea víctima de una estafa de phishing a través del correo electrónico. ¿Cómo? La frontera entre el uso profesional y el personal comienza a diluirse, especialmente en las situaciones de "Trae tu propio dispositivo".
Muchos empleados utilizan aparatos relacionados con el trabajo para acceder a la correspondencia y a las plataformas de las redes sociales. La siguiente vez que el empleado se registre, actores sin escrúpulos podrían acceder a sus sistemas informáticos si caen en una estafa de phishing vía chat o texto.
El riesgo de ataques de phishing aumenta constantemente, sobre todo cuando se da soporte a una plantilla remota. Los dispositivos conectados a redes fuera de la oficina no recibirán la protección que ofrece una red interna segura para frustrar el acceso no autorizado de los ciberdelincuentes.
¿Cómo pueden las empresas defenderse contra la posibilidad de una incursión o una brecha que comience con un intento de phishing en un texto SMS o en una aplicación de mensajería?
Veamos algunas precauciones que tu empresa puede tomar para protegerse a sí misma y a tus empleados de los estafadores.
Crea una sólida cartera de IP
Cualquier suplantación de identidad en Internet implica el robo de la identidad de una empresa. El secreto para salvaguardar tu empresa es asegurarse de que tu propiedad intelectual está total y exhaustivamente cubierta.
No olvides que el phishing estándar implica que los delincuentes en línea se hagan pasar por el sitio web de tu empresa, el diseño web, las cuentas de redes sociales, etc. Tu nombre de dominio, tus derechos de autor y tu presencia en las redes sociales son las tres cosas principales que deberás vigilar y salvaguardar.
Utiliza herramientas y software de mitigación de riesgos
Dado que hay tantas estafas de phishing, mantenerse al día con ellas y proporcionar una protección completa puede ser un reto. Adquirir un software de protección contra el phishing y de mitigación de riesgos puede hacer que este proceso sea más sencillo que nunca y proporcionarte el máximo nivel de protección contra los estafadores.
Un cortafuegos protege tus aparatos de la entrada de hardware dañino en su sistema. Mantenerlo y asegurarse de que se utiliza la versión más reciente es crucial. Otras herramientas de escaner de virus de archivos facilitan esto.
Informe y eduque a sus empleados y clientes
Especialmente cuando se trata de estafas de phishing, el conocimiento es poder. Será mucho más difícil para los estafadores tener éxito si tiene líneas de contacto abiertas con tu público, clientes y personal. Informe a todos sus canales sobre los riesgos de phishing que pueden encontrar y las mejores formas de mantenerse a salvo.
Educar a su personal es uno de los enfoques más eficaces y prácticos para combatir el phishing. Mantener a tu equipo regularmente informado sobre los esquemas de phishing y el malware actuales reducirá la probabilidad de un ataque. Un estudio descubrió que la vulnerabilidad general disminuía hasta un 5% cuando un lugar de trabajo mantenía a sus empleados informados.
Implantar DPIAs
Las DPIA, también conocidas como evaluaciones de impacto de la protección de datos, son cruciales para sus responsabilidades de rendición de cuentas. Cualquier tratamiento, incluidos los tipos específicos que se sabe que suponen un peligro para los derechos y las libertades de las personas, debe cumplir la ley mediante la realización de una DPIA.
No realizar una DPIA cuando se requiere bajo el GDPR del Reino Unido puede someterle a una acción de aplicación, lo que resulta en una multa de hasta 8,7 millones de libras esterlinas, o el 2% de sus ventas anuales globales, lo que sea mayor.
Las DPIA suelen aumentar la conciencia de los problemas de privacidad y protección de datos de tu organización mediante su uso regular. Además, garantiza que todos los miembros del personal implicados en el diseño del proyecto tengan en cuenta la privacidad desde el principio y utilicen un enfoque de "protección de datos desde el diseño".
Informar a la entidad del mal comportamiento
Tan pronto como seas testigo de algo, notifica a la plataforma donde está ocurriendo. Si se deja sin atender durante demasiado tiempo, la suplantación de identidad en las redes sociales y otros ataques de phishing pueden dañar tu marca. Por lo tanto, hay que ocuparse de ellos de inmediato. Utiliza los mecanismos de denuncia existentes en la plataforma para asegurarte de que los anuncios fraudulentos, los mensajes directos falsos y otros problemas dejan de producirse.
Además de poner en peligro a tus clientes, los sitios web falsos que imitan a tu empresa pueden arruinar su reputación. Para preservar tus ingresos, tus consumidores y tu marca, es crucial que esté atento y elimine los sitios web falsos.
Estate atento a cualquier cosa en la que los consumidores puedan hacer clic
Los programas maliciosos pueden causar daños irreversibles en un ordenador con un solo clic en el enlace equivocado. Por ello, los enlaces ocultos o distribuidos a través del chat u otras aplicaciones son cada vez más arriesgados. Investiga siempre antes de hacer clic en cualquier enlace y mantente alerta.
Crea un correo electrónico de phishing falso
Puede poner a prueba a tu personal suplantando su identidad. Para saber cuántos de tus propios empleados hacen clic en enlaces, ven archivos adjuntos o introducen información personal, puede enviar a su personal un correo electrónico de phishing que parezca proceder de una fuente legítima.
Al hacerlo, podrás determinar qué divisiones o personal necesitan más formación para mantener la seguridad de su empresa.
Desconfía del spoofing
A pesar de lo descarado que pueda parecer, incluso las personas más vigilantes pueden ser engañadas por el fraude de "spoofing". Uno de los métodos de suplantación es crear un correo electrónico con un nombre muy similar al de una persona conocida. Por ejemplo, puedes sustituir "ernilyanderson@acme.com" por "emilyanderson@acme.com".
Si hablas con Emily con frecuencia, puede que no te des cuenta de que las letras "r" y "n", que pueden parecer una "m" en algunas pantallas, son en realidad las que componen la "m" de su nombre. Estos fraudes pueden ser especialmente dañinos si el impostor está en la administración o representa a una empresa que le resulta familiar.
Para parecer auténticos, algunos phishers incluyen logotipos de empresas reales en su correspondencia. La gente suele sentirse segura al compartir información privada con personas en las que confía.
Toma nota de las URL
Comprueba los enlaces con más frecuencia. Es bien sabido que los ciberdelincuentes utilizan servicios de acortamiento de URL para hacer pasar contenido malicioso por un enlace de confianza.
Existen numerosos métodos para ello. Para saber a dónde te llevará un enlace antes de hacer clic en él, utiliza un alargador de enlaces. Antes de acceder a la URL, podrás ver el destino sin hacer clic en ningún enlace del que no esté seguro.
Ten en cuenta que las empresas de alojamiento gratuito permiten personalizar el subdominio del sitio gratuito. Esto permite a los atacantes producir URLs que parecen válidas y pueden engañar a los consumidores incautos.
También puedes copiar la dirección e introducirla en un motor de búsqueda para saber más sobre la empresa. Tal vez otras personas hayan utilizado el enlace, lo que le permitirá determinar si se trata de una empresa de confianza.
Comprueba si la URL tiene las letras HTTPS, que no debe confundirse con HTTP, ya que la "s" significa que la página es segura y está protegida por un certificado SSL. Pero los molestos phishers vuelven a las andadas. Según las investigaciones, la cantidad de sitios web de phishing que utilizan HTTPS se ha multiplicado en los últimos años. Esto demuestra cómo el malware está en constante evolución. Por lo tanto, debes mantenerte informado sobre las estafas.
Estate atento a los correos electrónicos
Pensemos en esto. El método más común que utilizan los hackers para intentar robar su información es a través de los correos electrónicos. En el 74% de los ataques dirigidos se utiliza un enlace o un archivo adjunto de correo electrónico. De ahí que lo mejor sea mantener unas medidas de seguridad exhaustivas en el correo electrónico.
Es una buena idea comprobar a fondo la fuente antes de enviar por correo electrónico cualquier información a las empresas en las que confías para evitar el envío de información crucial. Ten en cuenta los rasgos de las empresas y cómo suelen interactuar con sus clientes. Por ejemplo, empresas como los bancos no solicitan información sensible por correo electrónico.
Esto puede ser difícil si su personal de atención al cliente recibe a menudo correos electrónicos del público en general. Sin embargo, los filtros de spam deberían ayudar a eliminar los mensajes maliciosos. Tu equipo debería tomar las siguientes medidas para reducir el riesgo que suponen los correos electrónicos internos.
En lugar de responder, sigue adelante: ir si el remitente es alguien en quien suele confiar, si un correo electrónico parece sospechoso, deberías devolvérselo para que lo confirme en lugar de responder.
Llama si no estás seguro: ¿Sigues sin estar seguro? Para confirmar el mensaje, ponte en contacto directamente con el remitente.
El fraude por suplantación de identidad es un problema grave
Cuando tu empresa es el objetivo, el fraude por suplantación de identidad no es cosa de risa.
Es crucial vigilar constantemente y tomar medidas rápidas para detener los intentos de phishing cuando se produzcan si quiere estar seguro de estar protegido contra ellos.
Asimismo, asegurate de usar servicios seguros como una nube de almacenamiento que respeta tu privacidad.