Phishing: todo lo que necesitas saber para proteger tu empresa

Desde finales del siglo pasado, comenzamos a leer y escuchar el término “phishing“, que inmediatamente relacionamos con las estafas electrónicas.

Inclusive, muchos conocieron el término de la peor manera: cayeron en el error de compartir datos sensibles de su identidad digital o información bancaria que al final les costó más que un par de monedas.

Pues 25 años más tarde esta práctica fraudulenta sigue representando una amenaza a la economía de las personas y las empresas, y sus modalidades se han ido puliendo cada vez más para captar a las víctimas.

A continuación, detallaremos en qué consiste este delito y todas sus particularidades.

Phishing: ¿Qué es?

El phishing es un tipo de fraude informático que consiste en utilizar falsas páginas web, correos electrónicos o mensajes para engañar a las víctimas y obtener sus datos de acceso de cuentas, tarjetas de crédito y otros bienes.

El fin, es obtener información confidencial bajo engaño y usarla para fines delictivos.

En la mayoría de los casos los usuarios maliciosos recurren a cuentas o empresas falsas para engañar a las víctimas, convenciéndolas para que entreguen la información de acceso a sus cuentas o bases de datos.

Dentro del phishing encontramos la modalidad de smishing, que se ejecuta mediante el envío de mensajes SMS que, con un tono de urgencia, se envía a la víctima instándole a tomar acción.

Con esta modalidad se envían mensajes de texto al teléfono de la víctima en lugar de un correo electrónico, invitándola a compartir información o dar un paso que pondrá sus datos en riesgo.

¿Cómo funciona el phishing?

El phishing suele utilizar varios métodos de engaño, normalmente se vale de la credibilidad de firmas o empresas conocidas, como por ejemplo la de los bancos, para crear una sensación de seguridad con el fin de que el usuario acceda a entregar la información solicitada.

En esta práctica se pueden distinguir varias categorías:

Por IM

Utilizando la mensajería instantánea (IM) se envía a varias personas un mensaje de riesgo, una advertencia de seguridad, una alerta de virus; un mensaje que al principio puede parecer verdadero y procedente de una entidad cualificada.

Por e-mail

Se envían mensajes a través de correo electrónico, generalmente a través de falsas páginas de bancos, ofreciéndoles a través de un link una nueva versión de un programa que se pide instalar. Se puede solicitar a los usuarios que introduzcan sus datos privados o bien que cumplan algún requisito como, por ejemplo, ingresar sus nombres y datos de tarjeta de crédito.

También, por este medio y utilizando la apariencia de una empresa reconocida o de personas con un cargo de confianza, se envía un mensaje con una advertencia de seguridad informando de la posible infección del ordenador, del dispositivo o del sistema operativo y se pide que se descargue un programa con el fin de resolver el problema.

Por mensajes de texto

Se envían mensajes de texto con el fin de conseguir datos privados y de confianza. Se puede tratar de un mensaje de una “empresa conocida” o de una falsa.

Por llamada telefónica

Conocido como Vishing, en los casos más extremos, se pueden realizar llamadas a través de operadores reales o falsos para conseguir información confidencial y usarla para fines delictivos utilizando lo que conocemos como ingeniería social.

En redes sociales

En las redes sociales se engaña a los usuarios con la apariencia de una persona conocida o de una empresa conocida, enviando enlaces de correo electrónico con información engañosa, de última hora, con programas de seguridad para el navegador, etc.

Spear phishing

El spear phishing es la modalidad que va dirigida contra un objetivo en específico, en el cual los atacantes intentan conseguir la información de carácter confidencial de la víctima.

En el caso de las empresas, el spear phishing es el ataque más común. A menudo están dirigidos contra el departamento de recursos humanos para obtener información sensible sobre datos de los empleados como contraseñas y números de cuentas bancarias.

Daños que el phishing puede generar a tu empresa

Según un estudio realizado por Ponemon Institute, en el que participaron 600 expertos de seguridad de la tecnología de la información, el phishing ha crecido de forma exponencial: los ataques se duplicaron en 2020 y la cifra no mejoró en 2021.

Además, el coste se ha multiplicado por cuatro desde 2015 y alcanzó USD $14,8 al año.

Debido a que los ataques incrementan la posibilidad de que se produzca una filtración de datos, estas son algunos de los daños que le pueden generar a tu empresa:

  • Volumen de negocios y clientes perdidos: El phishing puede afectar tu reputación digital. Una vez que tus clientes y usuarios están convencidos que spam, phishing, malware y otras amenazas de ciberseguridad están relacionadas con tu cuenta, se alejarán de tus productos y servicios.
  • Creación de una imagen de marca negativa: Asimismo, el phishing puede hacer que tu marca parezca inestable y poco confiable.
  • Difundir tus datos de contacto: Cuando los atacantes se apropian de tus cuentas de correo electrónico, pueden utilizarlas para difundir malware y virus a través de e-mail, agregar nuevos contactos a la base de datos y, lo peor, ver tu agenda de contactos en línea.

¿Cómo proteger mi organización?

Una de las mejores manera de proteger tu organización del phishing es brindando capacitación a tus empleados y comunicándoles que de qué se trata, la realidad del problema y ofreciéndoles herramientas de forma continua para que no bajen la guardia ante esta amenaza.

Como complemento, también existen soluciones como la ofrecida por Ikusi, que monitorean el tráfico web donde se puede validar la autenticidad de los sitios web y combina mecanismos de control y seguridad que se aplican a la navegación, al correo electrónico y a los aplicativos de nube (SaaS).

Esta herramienta de ciberseguridad supervisa el tráfico y restringe el acceso a webs no autorizadas o que representen riesgo, bloquea la entrada de correos no deseados y los archivos adjuntos maliciosos. 

Además de detectar riesgos es capaz de notar anomalías las aplicaciones SaaS comunes, tales como inicios de sesión desde localizaciones no autorizadas o el envío de información sensible o confidencial fuera de la organización.

Si quieres aprender más sobre ciberseguridad, aquí te dejamos esta guía completa que te ayudará a conocer todo lo que necesitas sobre ese tema.

Solicita información
×
Consentimiento
Consentimiento(Required)