3 formas de disuadir los ataques de phishing en el 2023

[03/11/2022] Los minoristas no son las únicas personas que esperan con ansias la temporada navideña. También es un momento ajetreado para los estafadores, ya que envían cupones, promociones y ofertas a los consumidores, e incluso vales de agradecimiento a los empleados, simulando proceder de organizaciones y marcas en las que confían.

De hecho, CIO informó que los hackers experimentados tardan solo unos minutos en configurar un ataque de ingeniería social contra las empresas (y sus proveedores de servicios gestionados) que se consideran seguras y protegidas.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Aunque el phishing por correo electrónico -mensajes engañosos diseñados para engañar a una persona para que comparta datos confidenciales (o incluso dinero), o para inyectar software malicioso en el sistema del destinatario- es uno de los trucos más antiguos del libro, los ataques cibernéticos por correo electrónico representan el 90% de todas las filtraciones de datos incluso hoy en día, según una investigación de Hoxhunt. En conjunto, estos ataques suponen un costo de seis mil millones de dólares en la economía mundial.

Si bien los consumidores y las personas en general se han vuelto conscientes de estos ataques a lo largo de los años, incluso si no conocen el término "phishing”, siguen siendo sorprendentemente comunes y efectivos.

Entonces, ¿cuáles son los diferentes tipos de ataques de phishing que prevalecen en la actualidad? ¿Qué métodos utilizan los expertos en ciberseguridad para minimizar el impacto de estos ataques? ¿Cómo combaten las empresas estas amenazas a una escala mayor y evitan los intentos persistentes de phishing?

Profundicemos.

1. Comprenda los diferentes tipos de ataques de phishing

Los phishers utilizan tácticas de ingeniería social a través de casi cualquier formato de comunicación y conexión para lanzar ataques de phishing. Como es lógico, hay más tipos de phishing que de correo electrónico:

• Email phishing: Los atacantes envían correos con archivos adjuntos que inyectan malware en el sistema cuando se abren, o enlaces maliciosos que llevan a la víctima a un sitio en el que se le engaña para que revele datos confidenciales.
• Spear phishing: Los atacantes envían correos a objetivos específicos que saben que tienen la información que necesitan, como todos los miembros del departamento de ventas o TI.
• Whaling: Correos electrónicos enviados a altos ejecutivos, como CEO o CFO, como parte de una estafa de alto perfil.
• Smishing: Phishing a través de mensajes de texto (SMS).
• Vishing: Voice over IP (VoIP) y Plain Old Telephone Services (POTS) también son susceptibles a ataques de phishing. Los atacantes utilizan software de síntesis de voz y llamadas automáticas para solicitar a las víctimas que compartan sus datos bancarios y credenciales de inicio de sesión.
• Phishing en redes sociales: Ataques ejecutados en plataformas de redes sociales como Instagram, Twitter, Facebook o LinkedIn, diseñados para apoderarse de una cuenta o usarla para publicar mensajes como parte de una campaña más grande.
• Pharming: Los atacantes utilizan el envenenamiento de la caché DNS (reemplaza una dirección IP legítima almacenada en caché por una maliciosa) para redirigir a las víctimas a sitios falsos (pero de aspecto similar) donde se capturan sus credenciales de inicio de sesión.

2. Capacite a los empleados para que reconozcan los intentos de phishing

Además de ser habituales, los ataques de phishing se han vuelto tan rentables (para los atacantes) que los ciberdelincuentes más grandes han ido más allá de los clientes individuales. En su lugar, se dirigen a los empleados de la empresa que pueden ser engañados para que revelen información más sensible, en una escala mucho mayor.

"Un ejemplo podría ser un banco. Nuestro objetivo no son los clientes, creemos que eso sería tonto y lento; apuntamos al banco en sí”, explica Mike Connory, CEO de Security In Depth.

Dado que los ataques de phishing se dirigen mayoritariamente al elemento humano, los expertos en ciberseguridad coinciden en que la mejor defensa contra este fenómeno es impartir capacitación en materia de seguridad a los empleados de la empresa. Esto ayuda a la identificación temprana de ataques y aumenta la higiene general de seguridad. Algunas precauciones básicas que debe tomar el personal de todos los departamentos son:

• Mantener las cuentas de correo electrónico y de sitios web (e incluso los dispositivos) para uso personal y laboral separadas siempre que sea posible.
• Saber que las empresas legítimas nunca pedirán contraseñas, información personal, financiera o corporativa. Independientemente, confírmelo con el instituto u organización si es posible.
• Nunca copiar y pegar enlaces de correos electrónicos; nunca haga clic en URL acortadas a menos que confíe en la fuente.
• Verificar la dirección de correo electrónico del remitente. Si no lo reconoce, tenga cuidado al abrirlo.
• Leer detenidamente todas las URL de todos los sitios en los que inicia sesión y comparte, accede o crea datos confidenciales.
• La mayoría de los mensajes y correos electrónicos de los phishers contienen errores ortográficos y gramaticales. No están corregidos profesionalmente.
• Los mensajes o llamadas coercitivos o amenazantes son una señal de alarma. Las instituciones legítimas no enviarán dicha comunicación a menos que haya una disputa legal. Compruebe dos veces.
• No conectarse a redes Wi-Fi en las que no confíe.

Si se hacen correctamente, estos sencillos pasos pueden convertir a su personal en defensores acérrimos de su red. "A menudo se oye decir que las personas son el eslabón débil de la seguridad. Eso es muy cínico y no considera las ventajas de utilizar la fuerza laboral de una empresa como primera línea de defensa”, señala Riaan Naude, director global de consultoría en Performanta.

"Los empleados pueden detectar una cantidad significativa de amenazas que llegan a su bandeja de entrada si pueden seguir un proceso de informes sencillo que produzca resultados tangibles”, agregó Naude. Esto es importante porque la tasa de informes de intentos de incidentes de phishing actualmente languidece en un mísero 3%.

3. Utilice software con IA para implementar medidas de seguridad contra el phishing

La capacitación interna en ciberseguridad ya no es un proceso que requiere mucho tiempo y habilidades, dada la prevalencia de las plataformas de concientización sobre phishing basadas en IA. Hoy en día, el aprendizaje automático permite que existan programas de capacitación de seguridad personalizados y gamificados para cada individuo en función de su nivel actual de conocimiento, posición en la organización y comportamiento de navegación.

Además, la IA es una herramienta potente en manos de los expertos en ciberseguridad. Mejora la eficiencia y la eficacia de las políticas de seguridad al mejorar y automatizar los procedimientos rutinarios de detección de amenazas. La automatización habilitada por IA puede ayudar a las organizaciones a implementar una variedad de medidas contra el phishing:

• Implementar herramientas antimalware, antivirus y antispam, y mantener las aplicaciones clave parcheadas y actualizadas.
• Implementar estándares de autenticación de correo electrónico en los servidores de correo electrónico de la empresa para comprobar y verificar los correos electrónicos entrantes. Algunos protocolos como el Domain-based Message Authentication Reporting and Conformance (DMARC) ayudan a los administradores y usuarios a bloquear los correos electrónicos no solicitados de manera eficaz.
• Programar capacitación periódica en materia de seguridad y phishing para los empleados y medidas correctivas para aquellos que no aprueben las pruebas.
• Modelar la comunicación legítima dentro de la organización -basándose en el comportamiento predecible de los usuarios regulares, elaborando patrones de interacción entre varias entidades y analizando el contexto de los mensajes-, y asignar puntajes de seguridad dinámicos (con umbrales de anomalía) a los correos electrónicos.
• Integrarse con servicios de correo electrónico en la nube para bloquear los correos maliciosos que se filtran a través de la seguridad nativa de la plataforma.
• Ofrecer a los empleados una ruta de un solo clic para informar de correos electrónicos sospechosos y automatizar la categorización, el análisis y la gestión de estos correos.

Defensa contra el phishing centrada en las personas

Si bien la efectividad de todas y cada una de las medidas de seguridad depende de las personas, los procesos y la tecnología, el phishing puede ser derrotado por la misma táctica en la que prospera: la ingeniería social. Las soluciones que ayudan a las personas a ser más inteligentes, conscientes, resilientes y receptivas ganarán contra los intentos de phishing más avanzados. ¿Por qué no armar a su equipo para que sea el ganador?

Basado en el artículo de Dipti Parmar (CIO) y editado por CIO Perú

Puede ver también:

• Comparación de navegadores web seguros para empresas
• 8 extrañas formas en que los empleados pueden exponer los datos
• Qué es la defensa en profundidad
• 9 consejos para prevenir el phishing
• Las 10 mejores herramientas y servicios antiphishing
• Ingeniería social: Definición, ejemplos y técnicas
• 7 nuevas tácticas de ingeniería social
• 5 excelentes herramientas de seguridad integradas en Windows
• 21 herramientas de seguridad gratuitas
• Primeros pasos con 2FA
• Cómo elegir una solución MFA y 8 productos de autenticación multifactor
• Cómo saber si su contraseña ha sido robada
• Introducción a Google Password Manager
• Las mejores herramientas para el SSO
• 3 pasos para hacer que la administración de contraseñas sea más fácil
• Qué hacer cuando le roban la laptop (y cómo prepararse para ello)
• 10 formas de aprovechar al máximo su gestor de contraseñas
• Los mejores gestores de contraseñas gratuitos
• 10 herramientas de seguridad que todos los empleados remotos deberían tener
• 8 amenazas a la seguridad móvil que debería tomar en serio
• Cifrado de archivos: Comparación de los 3 mejores programas