[29/10/2020] El phishing ocupa un lugar bajo en la lista de ciberataques en términos de sofisticación tecnológica. Incluso variantes de phishing más sofisticadas como spear phishing (ataques de phishing enfocados y a menudo personalizados) y whaling (ataques de phishing enfocados en objetivos de alto perfil o de alto precio) se centran más en la ingeniería social que en la tecnología.
Sin embargo, el phishing sigue siendo uno de los tipos de ataques más efectivos porque elude muchas protecciones de redes y terminales. La capacitación del usuario final ayuda, pero también pueden utilizarse herramientas que detectan y previenen los ataques de phishing.
Por qué el phishing tiene éxito
El phishing y sus variantes son, en última instancia, ataques de ingeniería social, destinados a convencer a los usuarios finales de la confiabilidad del solicitante, la urgencia de la solicitud o ambas. La confiabilidad se establece a través de cosas como correos electrónicos de apariencia oficial, páginas de inicio de sesión, o incluso nombres de contacto que el usuario reconocerá y confiará. Los intentos de phishing a menudo intentan influir en el juicio de la víctima manipulando su estado emocional, haciendo afirmaciones sobre cuentas que ya están comprometidas o sugiriendo que un desastre empresarial o financiero es inminente si no se toman las medidas oportunas.
Un anuncio de servicio público del FBI del 2019 señala que el compromiso del correo electrónico comercial (BEC) es la fuente de más de 26 mil millones de dólares en pérdidas durante un período de tres años. Los ataques de phishing frecuentemente resultan en credenciales del sistema comprometidas, que luego pueden convertirse en un vector de ataque significativo contra una variedad de sistemas empresariales. La información financiera (o incluso las transferencias de dinero) también son objeto de muchos ataques de phishing.
Los riesgos relacionados con los ataques de phishing no se limitan a que los usuarios de su empresa entreguen información confidencial. Las empresas también deben ser conscientes de que sus clientes son potencialmente vulnerables a los ataques de phishing al utilizar su marca, y deben cuenta de que estos ataques también podrían provocar un compromiso del sistema e incluso un daño a la marca corporativa.
Cómo proteger su empresa contra el phishing
Antes de implementar una solución anti-phishing, asegúrese de haber tomado algunas medidas básicas para mitigar el riesgo de phishing. Los protocolos estándar para autenticar el correo electrónico y prevenir el spam y la suplantación de identidad -SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Autenticación de mensajes, informes y conformidad basados en el dominio)- están disponibles de forma gratuita y son relativamente fáciles de implementar. Estos protocolos no eliminarán la amenaza de phishing, pero le harán la vida más difícil para la oposición.
Requerir autenticación multifactor (MFA) puede prevenir muchos ataques basados en credenciales. Si un ataque de phishing obtiene credenciales, requerir una autenticación adicional probablemente signifique que el ataque no va a prosperar.
Las soluciones de correo electrónico en la nube como Microsoft 365 y Google G Suite tienen reglas y políticas integradas que mejoran la prevención del phishing. También comparan sus mensajes con los miles de millones de otros que procesan a diario para identificar intenciones maliciosas. Los servidores de correo electrónico locales como Microsoft Exchange cuentan con herramientas para prevenir el correo electrónico malintencionado.
Por último, la capacitación es imprescindible, tanto para los usuarios empresariales como para los clientes. Los intentos de phishing pueden tratar de llegar a los clientes a través de las redes sociales o incluso mensajes SMS (smishing). Desde un punto de vista técnico, las probabilidades de detenerlo son muy pocas, lo que hace que la concientización del cliente sea una defensa clave contra los ataques de phishing.
Con estas medidas implementadas, las herramientas y servicios enumerados a continuación mejorarán aún más su capacidad para detectar y detener los ataques de phishing.
1. BrandShield Anti-Phishing
BrandShield Anti-Phishing se centra en la protección de la marca y la confianza empresarial. Su conjunto de herramientas monitorea las redes sociales y otros puntos focales para detectar sitios de phishing o suplantación de marca (incluso busca su logotipo corporativo) y responde con solicitudes de eliminación y agrega estos sitios maliciosos a varias listas negras de anti-phishing.
2. RSA FraudAction
RSA FraudAction también detecta y mitiga los sitios de phishing que se hacen pasar por una empresa. RSA busca estos sitios falsos y al mismo tiempo aprovecha su red de socios para identificar y deshabilitar sitios falsos mediante el cierre y la creación de listas negras. RSA fija el precio de FraudAction según el volumen de ataque.
3. Avanan
Avanan es una de varias plataformas SaaS que mejoran la seguridad de Office 365, G Suite y otras. Dado que Avanan está basado en la nube y se conecta a la instancia de Office 365 o G Suite mediante APIs, es eficiente de configurar y también puede proteger más que solo el correo electrónico -por ejemplo, puede monitorear las configuraciones de la plataforma y el usuario, e incluso observar los cambios en los archivos que se encuentran en el almacenamiento en la nube. El paquete anti-phishing de Avanan tiene un precio inicial de cuatro dólares mensuales por usuario, que incluye filtrado de correo electrónico, protección contra la toma de control de cuentas y seguridad de la configuración.
4. Barracuda Sentinel
Barracuda Sentinel es otra herramienta SaaS que se integra estrechamente con Office 365 (no es compatible con G Suite). Barracuda monitorea el correo electrónico entrante e identifica las cuentas que pueden haber sido comprometidas, y corrige estas cuentas detectando y eliminando correos electrónicos maliciosos enviados a otros usuarios internos, notificando a los destinatarios externos, bloqueando la cuenta, e incluso investigando las reglas de la bandeja de entrada que pueden haber sido creadas por el usuario malintencionado. Barracuda Sentinel tiene licencia basada en usuarios o buzones de correo activos.
5. IRONSCALES
IRONSCALES aumenta la seguridad de su correo electrónico al combinar la identificación basada en inteligencia artificial y la interacción humana (a través de notificaciones) para responder rápidamente a posibles ataques y al mismo tiempo limitar los falsos positivos. Los administradores también obtienen información sobre la naturaleza y el alcance de la amenaza, incluidos cuántos buzones de correo fueron atacados y cuántos usuarios informaron sobre el correo electrónico. IRONSCALES también ofrece herramientas para emulación/simulación, así como capacitación de usuarios. Los precios de IRONSCALES comienzan en cinco dólares por buzón, con niveles flexibles para una variedad de tamaños de negocios.
6. Mimecast
Mimecast ofrece una plataforma de seguridad de correo electrónico que incluye un complemento total de servicios para proteger a su organización de ataques de phishing. Se incluyen la protección de marca, así como la protección anti-phishing y copia de seguridad de sus servicios de correo electrónico empresarial para ayudar a mantener la continuidad del servicio en caso ocurra un ataque exitoso. Mimecast también tiene soluciones de capacitación para los usuarios finales para ayudar a proteger su negocio de cualquier ataque que pueda eludir sus defensas. Los precios de Mimecast comienzan en tres dólares mensuales por usuario con descuentos disponibles según el volumen.
7. Microsoft Office 365 Advanced Threat Protection
Office 365 Advanced Threat Protection (ATP) es la opción servicio de seguridad de correo electrónico de un gran porcentaje de usuarios empresariales. Esto se debe en gran medida a que se incluye como parte de bastantes niveles de servicio de Office 365. Si bien muchas de las otras soluciones en esta lista promocionan su protección respaldada por IA, ninguna es capaz de alimentar esa IA con la misma cantidad de datos que Microsoft maneja a diario. Office 365 ATP comienza en dos dólares mensuales por usuario con un compromiso anual, y alcanza hasta cinco dólares mensuales a cambio de características que involucran investigaciones avanzadas, respuesta automatizada y simulación de ataques.
8. PhishProtection
PhishProtection ofrece servicios que abarcan toda la gama, incluidas características y capacidades como protección para correo electrónico alojado y local, integración en tiempo real con seis bases de datos de confianza, escaneo de archivos adjuntos y URL (incluidas las URLs contenidas en archivos adjuntos y URLs abreviadas) e intentos de phishing que utilizan la suplantación de dominio o proveedor. Además, PhishProtection ofrece capacitación y simulación por una tarifa adicional (desde 500 dólares anuales para 25 usuarios).
9. Sophos Email
Sophos Email aprovecha la detección basada en políticas y la inteligencia artificial en su plataforma SaaS, y ofrece un portal de autoservicio para que los usuarios puedan gestionar con seguridad sus cuarentenas. Sophos también puede identificar a los usuarios que muestran un comportamiento arriesgado, y asignarles una formación basada en la simulación para mitigar un mayor riesgo de estos usuarios. Sophos Email tiene un costo inicial de 22,50 dólares anuales por usuario, con descuentos tanto por volumen como por duración del plazo.
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú