Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Prevenir ataques de phishing

Se denomina Phishing al conjunto de técnicas que persiguen el engaño de una persona, imitando la identidad de un tercero de confianza, como podría ser un banco, una institución pública, empresa o red social, con el fin de manipularla y lograr que brinde información (por ejemplo, revelar información confidencial, hacer clic en un enlace a una página fraudulenta brindando información personal como el usuario o la contraseña, o descargar archivos infectados con malware). 

Generalmente puede consistir en un mensaje que se recibe por correo electrónico, pero también podría ser por SMS, Whatsapp u otra red social. Los correos electrónicos que imitan la identidad son cada vez más difíciles de detectar y suele ser el medio más común por el que se recibe malware. Mediante esta práctica los ciberdelincuentes pueden hacerse de información valiosa con la que podrían realizar otro tipo de fraude a las mismas personas. Sea cual sea el negocio, por grande o pequeño que sea, se recibirán ataques de phishing en algún momento.

Esta sección contiene 4 pasos sencillos para ayudarte a identificar los ataques de phishing más comunes.

Consejo 1: Revisar la configuración de las cuentas

Configurar las cuentas de las personas que trabajan en la empresa o emprendimiento, utilizando el principio de "menor privilegio". Esto significa otorgar al personal el nivel más bajo de derechos de usuario necesarios para realizar su trabajo, por lo que, si es víctima de un ataque de phishing, el daño potencial se reduce. 

Una cuenta de administrador es una cuenta de usuario que le permite realizar cambios que afectarán a otros usuarios. Los administradores pueden cambiar la configuración de seguridad, instalar software y hardware y acceder a todos los archivos de la computadora. Por lo tanto, un atacante que tenga acceso no autorizado a una cuenta de administrador puede ser mucho más perjudicial que acceder a una cuenta de usuario estándar. Para reducir aún más el daño que puede causar el malware o la pérdida de los datos de inicio de sesión, evitar o minimizar el uso por parte del personal de una cuenta con privilegios de administrador. 

Utilizar el doble factor de autenticación en las cuentas importantes, como el correo electrónico o redes sociales. Esto significa que incluso si un atacante conoce las contraseñas, no podrá acceder a esa cuenta fácilmente.

Consejo 2: Concientizar al personal

Considerar las formas en que alguien podría dirigirse a la empresa y asegurarse de que todo el personal comprenda las formas normales de trabajo, especialmente en lo que respecta a la interacción con otros emprendimientos, para que estén alertas para detectar solicitudes fuera de lo común.

Los ataques más frecuentes incluyen enviar una factura por un servicio que no has utilizado, por lo que cuando se abre el archivo adjunto, el malware se instala automáticamente sin tu conocimiento en la computadora. Otra forma es engañar al personal para que transfiera dinero o información mediante el envío de correos electrónicos que parecen auténticos. 

Es bueno pensar en las prácticas laborales habituales y en cómo ayudar a que estos ataques tengan menos probabilidades de éxito. 

Por ejemplo:

• ¿El personal sabe qué hacer con solicitudes inusuales y dónde obtener ayuda?

• Si alguien que se hace pasar por una persona importante (un cliente o gerente) por correo electrónico, cómo verificar su identidad antes de cumplir con lo que pide.

• Quienes estafan, a menudo envían correos electrónicos de phishing de grandes organizaciones como entidades financieras, o de cualquier otra entidad pública con la que se acostumbre hacer gestiones, con la esperanza de que algunos de los destinatarios del correo electrónico tengan una conexión con esa empresa y poder engañarlos. Nunca van a solicitar datos sobre usuarios y contraseñas, es bueno verificar con una llamada a la organización remitente si esto ocurre. Si se recibe un correo electrónico de una organización con la que no hay negocios, se debe tratar con sospecha.

• Pensar en cómo alentar y apoyar al personal para que cuestione solicitudes sospechosas o simplemente inusuales, incluso si parecen ser de personas importantes. Tener la confianza para preguntar “¿es esto genuino?” puede ser la diferencia entre mantenerse a salvo o un percance costoso.

También es importante observar cómo se ven tus comunicaciones salientes a los proveedores y clientes. Por ejemplo, ¿se envían correos electrónicos solicitando dinero o contraseñas? Los correos electrónicos ¿se confundirán con phishing o dejarán a las personas vulnerables a un ataque que ha sido diseñado para parecerse a un correo electrónico de la empresa? Hay que considerar decirle a los proveedores o clientes que "nunca le pediremos su contraseña" o "nuestros datos bancarios no cambiarán en ningún momento".

Consejo 3: Revisar las señales de alerta

Los servicios de filtrado de correo electrónico intentan enviar los correos electrónicos de phishing o correo no deseado a carpetas denominadas SPAM. Sin embargo, las reglas que determinan este filtrado deben ajustarse a las necesidades de la empresa. 

Es posible que se deba mantener actualizadas las reglas, para garantizar una mejor protección. Si estas reglas son demasiado abiertas y los correos electrónicos sospechosos no se envían a las carpetas de correo no deseado/SPAM, los usuarios tendrán que administrar una gran cantidad de correos electrónicos, aumentando su carga de trabajo y dejando abierta la posibilidad de acceder a ellos. Sin embargo, si las reglas son demasiado estrictas, algunos correos electrónicos legítimos podrían perderse.

Para mejorar la gestión del filtrado del servicio de correo electrónico de la empresa es fundamental que el personal conozca las señales de advertencia que le permitan identificar este tipo de correos engañosos y que sepa dónde reportarlos.

Señales de alerta:

Idioma y contenido

• Utiliza un saludo genérico

¿Se dirige por su nombre o se refiere a 'cliente valioso', 'amigo' o 'colega'? Esto puede ser una señal de que el remitente no te conoce realmente.

• Menciona algún sentido de urgencia

¿El correo electrónico contiene una amenaza o pedido de actuar con urgencia? Sospecha de palabras como "envíe estos detalles dentro de las 24 horas" o "ha sido víctima de un delito, haga clic aquí de inmediato".

• Pide información sensible, hace llamamientos humanitarios, ofertas demasiado buenas

Verificar por otro medio que sea real.

Indicador técnico

• Cuenta de correo del remitente

Muchas veces pueden mostrar un nombre de un contacto (alias) conocido, pero provenir de un correo desconocido. Ten especial cuidado si parecen provenir de una persona de alto rango dentro de la empresa, u empresa conocida, solicitando que se realice un pago a una cuenta bancaria en particular. Mirar el alias del remitente y verificar que éste coincida con la cuenta de correo.

• Contiene archivos adjuntos

Cuando se recibe un archivo adjunto en un correo, verificar que sea de un remitente real y si esperabas recibirlo. Si no se puede confirmar que se trata de un mensaje legítimo, desestimar el archivo, no abrirlo ni descargarlo.

• Contiene enlaces a un sitio en línea

Cuando se reciba un correo con un acceso a un sitio en línea como por ejemplo de e-banca, compras u una red social:

• Evitar hacerlo a través del enlace que envían o revisar la URL del enlace antes de hacer clic en él.

• Ingresar manualmente la dirección en el navegador.

• Si el navegador alerta que el sitio al que se quiere acceder no es seguro o peligroso, no intentar iniciar sesión, brindar información o realizar pagos allí.

• Corroborar que en la barra del navegador aparezca el candado que indica que la conexión es segura.

• El punto anterior no indica que el sitio es auténtico, verificar además URL, su apariencia, marcas, logos, aspecto real.

Errores

• Ortografía, gramática y puntuación

Muchos de los correos de phishing contienen errores ortográficos o de redacción, debido al uso de traductores automatizados. La estética también se asemeja mucho a la original, pero algún detalle siempre se escapa.

Evitar brindar información personal o confidencial por correo electrónico o por teléfono. En caso de recibir una notificación de este tipo, comunicarse con la organización para verificar su validez.

Consejo 4: Chequear qué información hay disponible en línea sobre la empresa o emprendimiento

Los atacantes utilizan información pública disponible sobre la empresa y del personal para hacer que sus mensajes de phishing sean más convincentes. Esto a menudo se obtiene del sitio web y cuentas de redes sociales, información conocida como “huella digital”.

• Comprender el impacto de la información compartida en el sitio web y las páginas de redes sociales de la empresa. ¿Qué necesitan saber los visitantes del sitio web y qué detalles son innecesarios, pero podrían ser útiles para los atacantes?

• Ser consciente de lo que socios, contratistas y proveedores disponibilizan sobre la empresa.

• Ayudar al personal a comprender cómo el hecho de compartir su información personal puede afectarlos a ellos y a la empresa o emprendimiento. No se trata de esperar que las personas eliminen todo rastro de sí mismas de internet; es importante ayudarles a ser conscientes y gestionar su huella digital, (conformada por rastros de información sobre creencias, valores, habilidades, intereses, hobbies, ubicación e imágenes) dando forma a su perfil para que funcione para ellos y para el comercio o negocio.

• Visitar la Campaña de Ciudadanía Digital, para ayudar a las personas a realizar un uso seguro y responsable en línea.

Acceder a la infografía: Prevení ataques de phishing en tu empresa o emprendimiento