El phishing es una de las estafas online más antiguas, pero aún así sigue siendo muy efectiva, de ahí la necesidad de conocerla y protegerse. Durante los últimos años este tipo de delito ha ido en aumento, en especial durante el estallido de la pandemia.
De acuerdo al informe de tendencias de actividad de phishing publicado por APWG (Anti-Phishing Working Group), la cantidad de ataques por robo de identidad se duplicó durante el 2020. Ante esta situación, es vital que las empresas estén al tanto de los modos de proceder de los phishers y cómo combatirlos para mantener sus datos a resguardo.
¿Qué es el phishing?
El phishing es un delito que implica “pescar” a los usuarios mediante acciones fraudulentas. Su objetivo es adquirir información confidencial para utilizarla en pos de un beneficio económico. Para lograrlo deben acceder a datos como:
- Nombres de usuario y contraseñas
- Claves o números de PIN
- Fecha de nacimiento
- Respuestas a preguntas de seguridad
- Dirección
Si bien existen otros como las llamadas telefónicas y los SMS, el canal principal preferido para cometer este tipo de delito es el correo electrónico. La víctima recibe un email de una persona o empresa de confianza con un enlace que los redirige a un sitio web falso y se le solicita que confirme sus datos personales. Si el usuario “pica el anzuelo”, hace click en el enlace y rellena los campos requeridos.
De esta forma los phishers pueden suplantar la identidad de los usuarios hackeados con el fin de saquear sus cuentas bancarias, robar datos empresariales o vender su información en la deep web.
Estadísticas de phishing en 2021
Según el informe de APWG, en enero de este año los ataques alcanzaron un récord de más de 245 mil nuevos sitios web creados para hacer phishing tan sólo en ese mes. Durante el resto del primer trimestre se observó un descenso, pero no significó realmente un alivio, ya que en marzo se produjeron 200 mil ciberataques.
Con respecto a las víctimas, las instituciones financieras ocuparon el primer lugar como blanco más frecuente. Mientras que el segundo y el tercer lugar los ocuparon cuentas en redes sociales y sitios de criptomonedas respectivamente.
Otro número alarmante es la cantidad de marcas a las que se dirigen las campañas de phishing, que ha ido en aumento durante el primer trimestre del año alcanzando a 465 empresas.
¿Cómo prevenir ataques de phishing dentro de las empresas?
Combinar capacitación con un software de ciberseguridad es la mejor forma de anticiparse a posibles riesgos relacionados al phishing en el ámbito empresarial.
Es vital que las compañías inviertan en programas de formación para instruir al personal a reconocer estas amenazas y la importancia de prevenirlas. Asimismo, el equipo de seguridad puede actuar con eficacia si cuenta con un software capaz de bloquear potenciales estafas.
Deteniéndonos puntualmente en la detección de emails con el objetivo de suplantar la identidad de los usuarios, hay algunas medidas que pueden tomarse:
Verificar el destinatario: los correos de phishing suelen simular direcciones de emails confiables, como contactos recurrentes o marcas reconocidas. El truco está en hacer un casi imperceptible cambio. Por lo tanto, es fundamental detenerse a comprobar ese tipo de detalles.
Poner en duda el mensaje: esta clase de ciberdelito se caracteriza por pedir con urgencia datos confidenciales. Cuestionar esa solicitud es el primer paso para detectar un intento de fraude. Para evitar caer en él, siempre es recomendable contactar a la entidad que supuestamente requirió la información y consultar directamente con la fuente.
Revisar errores: las faltas de ortografía y errores gramaticales son muy comunes en el phishing. Debido a que apelan a la urgencia como recurso, la mayoría de las personas no se detiene a examinar el correo con detenimiento.
No descargar archivos sospechosos: estos mensajes suelen contener URLs y archivos adjuntos que conducen a sitios web con malware. Ante la duda siempre es preferible desconfiar.
¿Qué hacer si recibes un correo de phishing?
Si alguien de tu organización identifica un email de phishing lo que debe hacer es denunciarlo y posteriormente eliminarlo. Por lo general empresas proveedoras de correo electrónico tienen una opción que permite denunciar específicamente este tipo de estafas.
El segundo paso consiste en notificar a la FTC (Federal Trade Comission) y la APWG (Anti-Phishing Working Group), entidades que se dedican específicamente a combatir estas amenazas.
En último lugar, si el correo intentaba suplantar la identidad de una empresa contáctese con algún miembro para advertirle que un phisher está haciendo uso de su marca para estafar a otras compañías.
En conclusión, el phishing es un método que lamentablemente no ha perdido vigencia y sigue encontrando víctimas en organizaciones de todo el mundo. En Xelere consideramos a la ciberseguridad como un factor central en el proceso de transformación digital de las empresas. Nuestras soluciones están enfocadas en detectar las amenazas y ofrecer respuestas rápidas para detener su avance.
Si estás buscando una forma de gestionar estos riesgos y proteger tus datos, no dudes en contactarnos. ¡Podemos ayudarte!