Llegamos a ustedes gracias a:



Reportajes y análisis

9 consejos para prevenir el phishing

[02/08/2022] El phishing, en el que un atacante envía un correo electrónico engañoso para que el destinatario entregue información o descargue un archivo, es una práctica que tiene décadas de antigüedad y que sigue siendo responsable de innumerables dolores de cabeza para los informáticos. El phishing es el primer paso para todo tipo de ataques, desde el robo de contraseñas hasta la descarga de malware que puede proporcionar una puerta trasera en una red corporativa.

La lucha contra el phishing es frustrante y recae directamente sobre los hombros de los informáticos.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Hemos hablado con una amplia gama de profesionales para averiguar qué herramientas, políticas y mejores prácticas pueden ayudar a las organizaciones y a los individuos a detener los ataques de phishing, o al menos a mitigar sus efectos. A continuación, sus recomendaciones para prevenir estos ataques.

1. No responda a desencadenantes emocionales

Armond Caglar, consultor principal de la empresa de ciencia de datos cibernéticos Cybeta, afirma que los usuarios deben entender la psicología que hay detrás de los correos electrónicos de phishing para poder resistirse a ellos. "Los correos electrónicos de phishing más comunes y exitosos suelen estar diseñados con un cebo que contiene desencadenantes psicológicos que animan al usuario a actuar rápidamente, normalmente por el miedo percibido a perderse algo", explica. "Esto puede incluir correos electrónicos que pretenden ser de empresas de paquetería indicando un intento de entrega fallido, premios no reclamados o cambios importantes en diversas políticas corporativas de un departamento de recursos humanos. Otros señuelos pueden incluir desencadenantes diseñados para animar a un usuario a actuar por un sentido de obligación moral, codicia e ignorancia, incluyendo aquellos que capitalizan eventos y tragedias actuales".

Añade que "en cuanto a cómo reconocer y evitar ser estafado por el phishing, es importante que el usuario se pregunte: "¿me están empujando a actuar rápidamente?" o "¿me están manipulando?".

El antídoto para este tipo de ansiedad inducida es recordar que siempre se puede dar un paso atrás y tomar aire. "Si un correo electrónico ya parece raro y le empuja a hacer algo (o aumenta su presión arterial), lo más probable es que sea un correo de phishing", anota Dave Courbanou, técnico informático de Intelligent Product Solutions. "Es rápido y fácil que un colega o profesional de la informática compruebe un correo electrónico por usted. La limpieza después de un phishing exitoso podría llevar días, semanas o meses, dependiendo de lo que estuviera en juego, así que no dude en pedir a sus contactos de TI que revisen cualquier correo electrónico por usted por cualquier motivo".

2. Establezca políticas y procedimientos para las solicitudes de emergencia

A menudo, los phishers juegan con sus emociones presentando su solicitud como una emergencia dentro de su empresa, con la esperanza de que les transfieras fondos o les entregues credenciales. Paul Haverstock, vicepresidente de ingeniería de Cloudways, sostiene que para combatir esto, su empresa debe establecer procedimientos de emergencia claros. "Cuando los empleados creen que han recibido demandas urgentes de sus empleadores, pueden sentirse intensamente presionados para actuar inmediatamente", explica. "Las empresas deben dejar absolutamente claro por qué y cuándo pueden dirigirse a los trabajadores con peticiones de emergencia, explicando cómo pueden verificar la legitimidad. Y tienen que subrayar qué peticiones no harán nunca, como exigir transferencias bancarias inmediatas sin utilizar los procesos de pago estándar".

De hecho, todos sus procesos internos deberían estar alineados en torno a asegurarse de que un intento de phishing no pueda causar demasiados problemas. "Cualquier solicitud de información sensible, incluidas las contraseñas, debe confirmarse a través de un medio diferente", indica Scott Lieberman, que fue instructor de TI centrado en la seguridad de la red en el Sinclair Community College de Dayton, Ohio. "Si recibe un correo electrónico de su supervisor pidiéndole la contraseña del backend del sitio web de la empresa, entre en Slack o Microsoft Teams -o tome el teléfono para llamar a su supervisor- para preguntar por ella".

"Un paso importante en la prevención que pueden dar las empresas, es poner en marcha políticas básicas en torno a la compartición de datos sensibles", añade Larry Chinski, vicepresidente de Estrategia Global de IAM de One Identity. "Esto puede ser tan simple como asegurarse de que solo un pequeño grupo de empleados esté informado de la información financiera y de las credenciales de acceso, lo que puede minimizar la posibilidad de un error humano. Se puede garantizar aún más seguridad creando un proceso de jerarquía analítica para cuando se soliciten datos altamente sensibles. Esto permitirá un mayor tiempo de aprobación y proporcionará una revisión más profunda de las solicitudes sospechosas".

Yendo un paso más allá, Jacob Ansari, defensor de la Seguridad y Analista de Cibertendencias Emergentes de Schellman, un evaluador global independiente de seguridad y cumplimiento de la privacidad, señala que las empresas pueden trabajar para hacer que sus comunicaciones internas sean inofensivas. "Lo más importante que se puede hacer es que los procesos empresariales legítimos no parezcan intentos de phishing", explica. "En lugar de enviar un enlace en un correo electrónico para que los empleados hagan clic, dar indicaciones para iniciar sesión en una intranet corporativa. La dirección de la empresa debería dejar de adjuntar documentos de Office por correo electrónico y, en su lugar, colocar los documentos en los depósitos de archivos apropiados y comunicarlos a los empleados. Los enlaces y los archivos adjuntos son los principales vehículos para los ataques de phishing; minimizar su uso legítimo reduce la espesura en la que pueden esconderse los ataques de phishing".

3. Formar y probar al personal para que detecte los correos electrónicos de phishing

Muchos de sus empleados, si no la mayoría, probablemente creen que ya pueden detectar un correo electrónico de phishing, aunque puede que se confíen demasiado. "Todos hemos oído las cosas básicas que hay que buscar, como no dirigirse a usted por su nombre o una gramática pobre en el cuerpo de un correo electrónico", indica Michael Schenck, consultor senior de ciberseguridad en CyZen. "Desgraciadamente, hemos visto a los hackers mejorar el uso del lenguaje con algunos impulsados por bots de IA de lenguaje natural.

Mantener al personal a la vanguardia significa educarlo continuamente, y poner a prueba el alcance de sus conocimientos. "Contrate a una empresa de pruebas externa para que trabaje con usted en la personalización de los ataques de phishing", sugiere Mieng Lim, vicepresidente de gestión de productos de Digital Defense by HelpSystems. "Los ataques personalizados normalmente utilizarán una variedad de herramientas y pueden ser llevados a cabo de una manera "baja y lenta" para que sean de naturaleza tan encubierta como sea posible con el fin de determinar realmente la capacidad de su equipo para frustrar un ataque sofisticado".

Si prefieres mantener las cosas en casa, Andreas Grant, ingeniero de seguridad de redes y fundador de Networks Hardware, recomienda marcos de phishing de código abierto como Gophish que pueden ayudar a organizar las pruebas. "Introduje un sistema de recompensa para las personas que puedan marcar estas estafas", explica. "Al gamificar el sistema, se mantiene a todo el mundo atento, y hace que las cosas sean divertidas al mismo tiempo. También mantiene la conversación, por lo que se gana tanto desde la perspectiva del usuario como del departamento de TI. También se puede tener una idea de hasta qué punto la gente ha caído en estas estafas cuando se realizan estas pruebas, por lo que se pueden utilizar esos datos para señalar los puntos débiles y centrarse en esas partes específicas en las formaciones".

La formación también debe adaptarse a públicos concretos. "Los equipos de seguridad pueden educar a unidades de negocio específicas sobre las campañas de phishing que podrían dirigirse a ellas", anota Jonathan Hencinski, vicepresidente de operaciones de seguridad en Expel. "Por ejemplo, los desarrolladores pueden ver campañas con temática AWS, mientras que los reclutadores pueden ver señuelos de phishing con temática de currículum".

4. Anime a los usuarios a denunciar los correos electrónicos de phishing

Un sistema de recompensa por detectar el phishing puede ir más allá de las pruebas y llegar a los escenarios del mundo real, señala David Joao Vieira Carvalho, director general y científico jefe del fabricante de redes de malla de ciberseguridad Naoris Protocol. Carvalho sugiere crear un sistema interno de notificación de posibles fraudes de phishing. Si el equipo de seguridad de TI identifica positivamente el correo electrónico como un intento de phishing, hacen circular la información sobre el mismo y ponen al denunciante en una bolsa para un sorteo de mil dólares mensuales. "Ahora tiene una plantilla que se desvive por proteger su negocio", anota. "Se han mitigado millones de dólares de riesgo por 12 mil dólares al año -una fracción de su presupuesto de mitigación de riesgos cibernéticos- al cambiar el proceso de basado en el miedo a basado en recompensas, algo que ya funciona muy bien para los espacios corporativos conscientes del riesgo".

En cuanto a las motivaciones, las zanahorias funcionan mucho mejor que los palos. "Nunca hay que condenar al ostracismo ni castigar a un usuario que ha caído en la trampa", anota Josh Smith, analista de ciberamenazas de Nuspire. "Ellos son una víctima en la situación, ya que estos correos electrónicos maliciosos están diseñados para aprovecharse de las emociones humanas".

Y si se espera que la gente denuncie los correos electrónicos, hay que hacerlo de forma sencilla, añade Cyril Noel-Tagoe, investigador principal de seguridad de Netacea. "Los engorrosos procesos de denuncia -por ejemplo, adjuntar una copia del correo electrónico sospechoso a un nuevo correo electrónico y enviarlo a TI- deberían sustituirse por alternativas fáciles de usar, como un botón de denuncia integrado en el cliente de correo electrónico", afirma. "Esto ayudará a promover una cultura que normalice la denuncia de los correos electrónicos sospechosos".

5. Monitorizar la dark web en busca de credenciales de la empresa

"La monitorización de la dark web debería ser una parte fundamental de la estrategia de cualquier organización para prevenir los ataques de phishing antes de que lleguen a las bandejas de entrada de los empleados, ya que muchas operaciones de phishing comienzan con credenciales de la empresa que se han filtrado o vendido en mercados o foros de la dark web", explica el Dr. Gareth Owenson, CTO de Searchlight Security. "La supervisión continua del nombre de la empresa y de las direcciones de correo electrónico corporativas podría alertar a las empresas de que se está hablando de ellas y de que están a punto de ser objeto de una campaña de phishing, mientras los delincuentes están en la fase de reconocimiento".

La web oscura puede albergar algo más que charlas, ya que este reino sombrío suele servir de mercado para las credenciales robadas. "Las contraseñas filtradas junto con las direcciones de correo electrónico también podrían alertarles del riesgo de ataques de compromiso del correo electrónico empresarial, un tipo de phishing especialmente complicado en el que los delincuentes explotan a los empleados enviándoles correos electrónicos desde cuentas legítimas hackeadas", explica Owenson. "El conocimiento de que las contraseñas han sido comprometidas permite a las organizaciones hacer cumplir las actualizaciones de las contraseñas para los individuos afectados".

6. Conozca qué tipos de información le convierten en un objetivo

Todo el mundo debería ser consciente de los peligros potenciales del phishing, por supuesto, pero los nuevos empleados en particular deben estar en guardia, señala Ansari de Schellman. "Los phishers buscan actualizaciones en LinkedIn o similares y luego se dirigen a esas personas, pensando que son las más vulnerables", explica. "Adviértales sobre estos posibles ataques, y que los intentos pueden dirigirse a sus direcciones de correo electrónico personales o venir en cambio como mensajes SMS".

Otro grupo dentro de la empresa que debe estar en guardia constante: los habitantes de la suite C. "Últimamente están surgiendo ataques que se dirigen a personas de alto valor", comenta Ricardo Villadiego, fundador y director general de la empresa de pruebas de seguridad Lumu. "Los altos cargos deben crear nuevos protocolos sobre la privacidad de los datos. Hay que animar a los ejecutivos y a los empleados de alto nivel a utilizar restricciones de privacidad en las redes sociales. Deben asegurarse de borrar o minimizar la información personal de los perfiles públicos de la mejor manera posible, evitando pistas informativas fáciles como los cumpleaños y las ubicaciones habituales que pueden ser aprovechadas en los ataques".

En general, la transparencia puede ser una virtud, pero las empresas deben ser conscientes de que cualquier información que pongan en línea puede ser utilizada por este tipo de estafadores que se hacen pasar por empleados o conocedores de la situación. "Revise la información disponible públicamente que puede ser aprovechada en un ataque contra su empresa", insta Adam King, director de Sentrium, una empresa que ofrece evaluación de ciberseguridad y pruebas de penetración. "Compruebe su sitio web, las redes sociales e incluso los perfiles de los empleados. ¿Contienen sus anuncios de trabajo detalles sobre las tecnologías que utiliza su organización?".

En otro orden de cosas, hemos hablado mucho del correo electrónico, pero conviene tener en cuenta que los canales de comunicación relacionados con la empresa están proliferando rápidamente, y los phishers pueden utilizarlos todos, y tanto los usuarios como el departamento de TI deben ser conscientes de ello. "Los entornos de comunicación empresarial son cada vez más complejos, ya que ahora incluyen el chat, la colaboración, el correo electrónico y las redes sociales", afirma Chris Lehman, director general de SafeGuard Cyber.

"Los actores de las amenazas saben que esta complejidad es un reto para los equipos de seguridad y se están aprovechando de ello. Los ataques de phishing actuales tienen la misma probabilidad de originarse en las redes sociales o en una aplicación de mensajería que en el correo electrónico. Debe evaluar el uso empresarial de todos los canales de comunicación, por departamento. Entienda cómo se utiliza el canal, qué datos pasan por él y cómo se aprovisiona. Por ejemplo, ¿utiliza Marketing un espacio de trabajo de Slack para conectarse con socios y proveedores?".

7. Utilizar las herramientas y tecnologías adecuadas para evitar el phishing

Por supuesto, lo ideal sería que sus usuarios no recibieran nunca correos electrónicos de phishing. Aunque ese es un objetivo imposible, puede reducir las cifras, señala Dave Hatter, director de crecimiento empresarial del proveedor de servicios de TI gestionados Intrust IT. "Utilice una buena solución de prefiltrado de correo electrónico, una que funcione antes de que el spam llegue al servidor de correo", sugiere, recomendando la lista de Gartner como punto de partida. Para aquellos que utilizan Microsoft 365, recomienda Microsoft 365 Advanced Threat Protection para proporcionar un filtrado adicional.

La implementación de la autenticación multifactor (MFA) debería ser un hecho, ya que impide que un phisher que consiga engañar a alguien para que dé su nombre de usuario y contraseña se conecte a las redes corporativas. Ray Canzanese, director de Investigación de Amenazas de Netskope, sugiere otras herramientas que amplían esta protección. "El inicio de sesión único (SSO) significa que solo tiene que habilitar la MFA en un lugar y aplicarla a todos sus servicios", anota. "Un Secure Web Gateway (SWG) puede bloquear las páginas de phishing, utilizando una combinación de inteligencia de amenazas, firmas, heurística e incluso aprendizaje automático para identificar y bloquear las páginas de phishing en tiempo real. Puede configurar su SWG para evitar que los usuarios envíen sus credenciales a lugares desconocidos. Si está utilizando SSO, es probable que ese portal SSO sea el único lugar en el que sus usuarios deberían introducir sus credenciales, por lo que debería configurar una política que impida que las credenciales se introduzcan en otros lugares".

Un gestor de contraseñas también puede ser útil en este caso. No solo evitará que sus empleados reutilicen las contraseñas, sino que también reconocerá cuándo han aterrizado en una página de phishing falsa y no rellenará automáticamente las credenciales como lo haría en una página real.

También existen herramientas para desinfectar a fondo los correos electrónicos antes de que lleguen a las bandejas de entrada de los usuarios, y deberían utilizarse, indica Benny Czarny, fundador y director general de la empresa de ciberseguridad OPSWAT. "Utilice la tecnología de escaneo múltiple para escanear y analizar todos los archivos descargados en la red de la organización", aconseja. "Ningún motor antivirus puede detectar el 100% de las amenazas en todo momento. Al utilizar varios motores antivirus para analizar los correos electrónicos, las organizaciones pueden aumentar sus posibilidades de que una nueva amenaza sea detectada y mitigada rápidamente. En el caso de los archivos desconocidos, el escaneo dinámico del sandbox puede detectar comportamientos maliciosos. Y una solución de desarme y reconstrucción de contenido, también conocida como sanitización de datos, descompone y reconstruye por completo los archivos potencialmente peligrosos, eliminando los objetos inseguros en el proceso y preservando la usabilidad".

Si quiere tomarse realmente en serio la neutralización de los correos electrónicos de phishing, Jon DiMaggio, estratega jefe de seguridad de Analyst1, tiene una sugerencia potencialmente impopular: sólo permitir el correo electrónico en texto plano, y restringir los tipos de archivos adjuntos para bloquear las extensiones no esenciales para el negocio. "Rara vez es necesario enviar por correo electrónico un ejecutable o un archivo RAR", explica. "Y el correo electrónico en texto plano elimina la posibilidad de que un usuario haga clic en un enlace malicioso, o de que se ejecute un script cuando se abre el correo electrónico y media muchas otras tácticas utilizadas en los ataques de phishing".

8. Haga que los correos electrónicos legítimos sean más fáciles de identificar

Si tiene políticas y herramientas que facilitan a los empleados el reconocimiento de los mensajes de phishing, estás en ventaja. "Marque los correos electrónicos que no se envían desde el dominio de la empresa como 'Externos'", señala Tony Anscombe, evangelista jefe de seguridad de ESET. "Esto es una advertencia visual para que el usuario esté más atento, y es una victoria fácil para el equipo de TI corporativo". Esto es particularmente útil cuando los correos electrónicos provienen de dominios de apariencia typosquatting y pueden parecer a primera vista mensajes internos.

Por supuesto, es mucho más difícil que los empleados detecten los correos electrónicos falsos si en el campo "De:" aparece una dirección real de alguien que conocen, lo que un hacker inteligente puede conseguir mediante la suplantación de correos electrónicos, anota King de Sentrium. "Asegúrese de que los registros de su sistema de nombres de dominio (DNS) están correctamente configurados para evitar la suplantación de identidad", recomienda.

Kfir Azoulay, jefe de respuesta a ciberamenazas del proveedor de servicios de seguridad gestionados CYREBRO, sugiere otras herramientas relacionadas con el DNS. "Los departamentos de TI de las empresas deberían implementar servicios de autenticación de DNS como los protocolos Domain-based Message Authentication, Reporting, and Conformance (DMARC), DomainKeys Identified Mail (DKIM) y Sender Policy Framework (SPF) para determinar si un correo electrónico enviado desde un dominio específico es legítimo o fraudulento. La implantación puede hacerse en cualquier momento, de forma sencilla y con un bajo costo por dominio, desde sin costo alguno hasta unas pocas decenas de dólares al mes para la organización media".

Otra solución para olfatear los correos electrónicos amenazantes es "integrar el sistema de correo de la organización con una fuente de inteligencia para crear una lista negra y evitar la recepción de correos electrónicos de una fuente maliciosa", señala Azoulay. "Un mensaje de correo electrónico puede entonces rastrearse para ver los saltos entre servidores. Cuando la IP maliciosa coincide con las de la lista negra, el correo electrónico debe considerarse inválido".

9. Tenga un plan para responder a un phishing exitoso

Aunque el departamento de TI puede quejarse con razón de que los empleados despistados sean víctimas de estafas de phishing, Sean D. Goodwin, director del equipo de garantía y asesoramiento de TI de Wolf & Company, P.C., subraya que el departamento de TI debe asumir en última instancia la carga de proteger a la empresa. "Los usuarios finales no son expertos en seguridad, y hay que dejar de esperar que lo sean", afirma. "No se espera que el equipo de seguridad ayude al equipo de contabilidad a cerrar los libros cada mes. Se espera que siga los procesos esperados para presentar los gastos de la empresa, como las anotaciones/comentarios correctos y que se presenten a tiempo. El resto depende de la contabilidad. Del mismo modo, el departamento de TI debe esperar que los empleados conozcan las políticas y los procedimientos, en concreto, cómo deben ponerse en contacto con la seguridad. Todo lo demás es responsabilidad del equipo de seguridad".

Y aunque siga todos los consejos de este artículo, es probable que en algún momento sufra una brecha, y tiene que estar preparado para lo que venga después. "Desafortunadamente, siempre hay algunos empleados que caerán en los correos electrónicos de phishing, incluso si los equipos de TI han implementado la mejor formación y prevención que el dinero puede comprar", señala Sally Vincent, ingeniero senior de Investigación de Amenazas en LogRhythm. "Es imperativo que estos equipos tengan un plan para responder a los usuarios que son víctimas de phishing. Responder a un phishing exitoso es un ejercicio de mesa realista en el que los equipos de seguridad pueden trabajar".

Puede ver también:

Primer Contacto

Más »

Casos de éxito

Más »