Los correo electrónicos son una de las herramientas fundamentales de comunicación en la era digital, principalmente en el ámbito laboral.
A pesar de su importancia, a muchas empresas alrededor del mundo les cuesta establecer una plataforma segura libre de virus y software malicioso en los equipos que maneja su personal, así como protocolos para prevenir vulnerabilidades y errores humanos.
Lamentablemente, el correo electrónico continúa siendo el método más efectivo de perpetrar ataques, durante los cuales se pueden sustraer datos valiosos de los servidores de una organización, exigir un rescate para acceder a los datos, robar información bancaria o denegar al usuario que acceda a los datos.
El phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza, como una institución bancaria, gubernamental, o proveedora de servicios como la compañía de electricidad, teléfono, agua, entre otras, pero que en realidad pretenden manipular al receptor hacer que revelen información personal confidencial.
Además de asumir la identidad de entidades de gobierno, bancos y marcas reconocidas, los cibercriminales también pueden hacerse pasar por alguno de nuestros conocidos, aprovechando la confianza que les tenemos a estos para que bajemos la guardia, y no le demos la consideración suficiente a las implicaciones que tiene el compartirles contraseñas y otros datos sensibles.
La mayoría de los ataques de phishing inician con la recepción de un correo electrónico o un mensaje directo. Este incluye enlaces a un sitio web preparado por los criminales, el cual hace el intento de imitar en muchos detalles a una empresa legítima, invitando a la víctima a compartir sus datos personales.
Un ataque de phishing tiene tres componentes:
- El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
- El atacante se hace pasar por una persona u organización de confianza.
- El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.
Por su parte, el spam son grandes cantidades de correos o envíos publicitarios, que son enviados a millones de cuentas de correo sin haber sido solicitados, y la mayoría de los casos tienen una finalidad comercial.
Sin embargo, esto no solo resulta molesto, debido a que llena tu buzón de correo con mensajes no deseados, sino que también puede llegar a ser peligroso.
Los mensajes spam en formato HTML pueden, por ejemplo, contener scripts potencialmente peligrosos. No puede excluirse que el emisor de esos mensajes pueda piratear datos de acceso y contraseñas o que pueda mediante mensajes potencialmente peligrosos activar en tu sistema scripts o virus maliciosos.
En este sentido existe una vinculación entre el spam y el phishing, debido a que los correos electrónicos fraudulentos suelen enviarse de manera masiva, con el objetivo de multiplicar el número de víctimas potenciales.
Si bien el correo electrónico continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, se debe tener en cuenta que el phishing puede utilizar otros medios de comunicación, tales como SMS, VoIP (llamadas electrónicas que se realizan por medio de una conexión a internet) o mensajes privados en redes sociales.
Adicionalmente los cibercriminales utilizan la ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción, con la intención de que el usuario actúe de inmediato ante estos estímulos y no se detenga a analizar las implicaciones que sus acciones puedan provocar en ellos mismos, o la empresa en la cual laboran.
¿Cómo puedes identificar los correos electrónicos mailiciosos?
Es extremadamente extraño que las empresas de cualquier índole, soliciten tus datos personales por medio del correo electrónico. El simple hecho de recibir un mensaje de este tipo, debería ponerte en alerta de que pudiera tratarse de un ataque.
Copiar de manera fiel el formato que utiliza una empresa requiere un tiempo y esfuerzo, cosas que los criminales no siempre están dispuestos a invertir. Los errores, incoherencias o faltas de ortografía tanto en el título como en el contenido, son un indicio claro de que es un ataque. Igualmente, revisa la dirección del remitente, ya que te puede revelar de que se trata de una fuente no oficial.
La creciente popularidad de los teléfonos inteligentes hace que muchos usuarios realicen muchas de sus operaciones en su smartphones. Los criminales saben de esto y tratan de aprovecharse de la pérdida de claridad derivada de pantallas más pequeñas y de menores medidas de seguridad, por lo que revisa bien dónde haces clic en tu teléfono, sobre todo si el proceso que estás realizando, involucra tu información sensible.
Protegerse contra estos ataques es vital para asegurar la privacidad de tus datos y los de tu negocio, por lo que te invitamos a seguir los siguientes consejos para combatir la práctica del Phishing.
Aunque los mensajes de phishing o spam tienen la misma intención de obtener tus datos personales, estos pueden clasificarse en distintas categorías:
-
Problemas con tu factura para robar tus datos financieros
-
Alertas aparentemente urgentes de tu banco para confirmar información sensible
-
Amenazas o reportes con las autoridades con la intención de asustarte y actuar de inmediaro
-
Mensajes falsos sobre tu declaración de Hacienda y/o devolución de impuestos
-
Súplica de ayuda asumiendo la identidad de un ser querido, apelando al lado emocional de la victima
-
Un sospechoso premio o recompensa que ganaste inesperadamente, en un concurso que no conocías
-
Ofertas en comercios de tiempo limitado para motivar el sentido de urgencia en la persona y que evite pensar en las consecuencias de compartir sus datos
Principales recomendaciones para prevenir el phishing
-
Mantenerse actualizado sobre el tema con artículos y noticias relacionadas
-
Tener una actitud escéptica antes de hacer clic en un enlace o descargar cualquier archivo adjunto
-
Confirma que la información sea verdadera antes de tomar cualquier acción
-
Verifica que el sitio que visitas tenga certificados de seguridad
-
Actualiza tus contraseñas con regularidad
-
Revisa regularmente tus estados bancarios para detectar a tiempo cualquier regularidad
-
Utiliza un bloqueador de anuncios al navegar por internet
-
Lee tus correos electrónicos como texto sin formato
Proteger la información sensible de tu negocio es un tarea que involucra el conocer sobre las amenazas, para luego poder aplicar las mejores prácticas y evitar ser vícitma de estos ataques cibernéticos.
En Certerus contamos con servidores con filtros antivirus y anti-malware para asegurarnos que tus cuentas de correo estén protegidas, sin embargo, es importante complementar estas medidas con técnicas seguras de cómo utilizar el correo empresarial, los archivos adjuntos, establecer una política de instalación de programas y extensiones, instalación de antivirus en los equipos, entre otras.
Te invitamos a visitar nuestra base de conocimiento en el Portal de Clientes de Certerus para que conozcas más sobre cómo mantener segura la comunicación vía correo electrónico de tu empresa.