Contexto de los ataques de Phishing
El phishing está haciendo estragos fuertes en las grandes empresas, pymes y organizaciones de todo tamaño en todo el mundo. El llamado BEC (Business Email Compromise) afectó a más del 90% de las organizaciones de todo el planeta durante el 2020, según un informe e investigación de Proofpoint.
En el estudio también se refleja cómo los ciberdelincuentes realizan ataques de suplantación, lo que refleja su insistencia en comprometer a los usuarios finales individuales.
¿Qué es el Phishing y en qué consiste?
El phishing son tipos de ciberataques lanzados a través del correo electrónico, con el fin de engañar al usuario para que realice alguna acción determinada, como por ejemplo hacer clic a algún enlace para la descarga de un fichero infectado o intentar robar credenciales mediante la redirección a una web ilegítima con un formulario falso.
¿Qué objetivo tienen los ataques de Phishing?
La finalidad del phishing es obtener información confidencial o sensible que puede comprometer a una persona o empresa, con el objetivo, normalmente, de interceptar comunicaciones y sacar un beneficio económico. Por ejemplo, buscan cambiar el número de cuenta de una factura o intentar infectar los equipos de los usuarios con la finalidad de tener acceso a los recursos o poder infectar el equipo con algún virus, ya sea malware o ransomware.
Asimismo, el 78% de los encuestados por Proofpoint informó que las actividades de formación y concienciación en seguridad dieron como resultado reducciones significativas en la susceptibilidad al phishing.
El volumen de mensajes reportados como maliciosos aumenta significativamente año tras año, con los usuarios reportando más de nueve millones de correos electrónicos sospechosos en 2019, un incremento del 67% sobre 2018.
¿Qué hacer para evitar el Phishing en las empresas?
Disponer de una solución antiphishing es una de las principales acciones que una organización debe realizar y deberá aplicarse en toda la empresa para evitar este tipo de ataques, y al mismo tiempo garantizar la seguridad de los empleados y clientes.
No obstante, existe otro factor que se debería tener en cuenta, y que puede ser, también, el causante de ataques de phishing exitosos. El factor humano, es decir, los empleados y colaboradores.
La formación de los empleados es fundamental para que ellos mismos sean capaces de detectar cualquier amenaza de phishing y evitar realizar ninguna acción que pueda comprometer la información y datos de la empresa, para poder así garantizar la seguridad de tus clientes y de tu negocio.
Por otra parte, según un estudio de Sophos, en México el 61% de las compañías detectaron un incremento de este tipo de ataque cibernético y cerca del 90% ha implementado planes de capacitación para evitarlo.
Al respecto, Juan Aguirre, director de ingeniería de Sophos para Latinoamérica, afirma que el 90% de esas empresas han implementado alguno de estos planes, y las enfocadas en el ámbito de las telecomunicaciones han sido las más sofisticadas. Sin embargo, los números son distintos en el sector gubernamental, pues sólo el 69% a nivel local los ha integrado a sus sistemas, mientras que a nivel federal ha sido el 83%.
Las recomendaciones de los especialistas en este asunto son claras: continuar con la educación y capacitación de los usuarios para que puedan identificar la mayor cantidad de correos sospechosos partiendo de la revisión de dominios, es decir, que no sean similares o se hayan cambian algunas letras o números, además de saber detectar cómo suelen estar escritos estos mensajes maliciosos.
¿En tu empresa siguen estas medidas de prevención y la capacitación necesaria a los colaboradores para evitar caer en esta trampa?
Fuentes:
https://www.proofpoint.com/es/solutions/protect-against-phishing
https://www.sophos.com/es-es.aspx
https://expansion.mx/tecnologia/2021/09/14/el-phishing-aumenta-pero-empresas-saben-reconocerlo