PHISHING: UNA CIBERAMENAZA PARA TU EMPRESA

Tras el supuesto fraude de 4 millones de euros que ha sufrido la EMT de Valencia, España y que ha sido denunciado por el director gerente de la Empresa Municipal de Transportes de Valencia, Josep Enric García Alemany, es probable que estés más atento a los ataques de ciberseguridad que con mayor frecuencia están sufriendo las empresas, entre ellos y el más habitual es el Phishing.

En la actualidad las amenazas a las que están expuestas las empresas son innumerables. No importa el sector, ni si es pública o privada, la realidad es que los ataques a través de ingeniería social, como el phishing o el fraude al CEO están a la orden del día.

El binomio perfecto para evitar que tu empresa sea víctima de estas amenazas que acompañan al uso imprescindible de la tecnología es:

La formación y concienciación en ciberseguridad a los empleados en todos los niveles, desde el becario hasta los altos directivos.
La implementación de soluciones en seguridad informática.

En la vertiente de la formación os vamos a concienciar sobre el PHISHING.

¿Qué es?
Quién puede ser víctima.
Técnicas más utilizadas de Phishing.
Cómo detectar el phishing.
Cómo proteger tu empresa de esta amenaza.
Suplantación de identidad en España en 2019.

Phishing ciberamenaza para las empresas — Ciberamenaza vía phishing

QUÉ ES EL PHISHING

Es una de las amenazas de ciberseguridad más frecuentes en las pymes.

El phishing es una técnica utilizada por ciberdelincuentes para obtener información personal, empresarial y bancaria de sus víctimas. También es conocido como suplantación de identidad.

Es un término informático que denomina un tipo de abuso informático y que se caracteriza por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria).

El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

CÓMO FUNCIONA LA SUPLANTACIÓN DE IDENTIDAD O PHISING

Los phishers envían mensajes suplantando a una entidad legítima como puede ser un banco, una red social, un servicio técnico o incluso una entidad pública para engañar y manipular a la víctima para que ésta acabe realizando alguna acción que ponga en peligro datos de carácter personal.

Para conseguir la información que necesitan de sus víctimas se aprovechan de la falta de formación en ciberseguridad y de la carencia de protocolos para actuar en este tipo de ataques.

QUIÉN PUEDE SER VÍCTIMA DEL PHISHING

Cualquier empresa o persona puede ser víctima por medio de este engaño.

El término phishing viene del inglés fishing, que significa pescar. En este caso no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.

El objetivo es conseguir o bien suplantar nuestra marca empresarial para ¨pescar¨ a otros que confían en nuestra empresa. O bien conseguir información personal para poder acceder a cuentas bancarias.

Para lograr cualquiera de los dos objetivos pueden utilizar:

A tus empleados quienes pueden recibir un email, una llamada telefónica o un mensaje SMS, que en realidad es un timo, con el que intentarán robar los datos personales, es decir, serán los «pescados»;
La web de tu empresa puede ser atacada para suplantar a otra y enviar correos de phishing con los que robar datos personales de clientes de la entidad suplantada, es decir seréis «la caña del pescador».

TÉCNICAS MÁS UTILIZADAS DE PHISHING

El phishing es un engaño de ingeniería social.

Es decir, este engaño se basa en técnicas de manipulación psicológica para conseguir que los empleados revelen información sensible o realicen acciones fraudulentas o no permitidas.

Por esta razón, como hemos dicho al principio, la única manera de combatir este tipo de manipulación es con la concienciación y la sensibilización de todo el personal de la empresa.

Algunas de las técnicas de manipulación más utilizadas por los ciberdelincuente por su alto porcentaje de éxito son las siguientes:

Problemas de carácter técnico de la entidad a la que suplantan.
Problemas de seguridad y privacidad en la cuenta del usuario.
Recomendaciones de seguridad para evitar fraudes.
Cambios en la política de seguridad de la entidad.
Promoción de nuevos productos.
Vales descuento, premios o regalos.
Inminente cese o desactivación de servicios externos.
Oferta falsas de trabajo.

CÓMO DETECTAR EL PHISHING

Una característica destacable en muchos de los mensajes de phishing es que suelen contener faltas de ortografía y errores gramaticales.

El remitente del correo electrónico tendrá una apariencia de un email legítimo y el tono del mensaje será de urgencia, adulador o amenazante.

Mediante este tipo de correo fraudulento se tratará de forzar al empleado a tomar una decisión de forma casi inmediata, que podría ser dar click a un enlace, para que descargue algún documento adjunto, o para que acceda a alguna web (hackeada) e introduzca datos personales.

En el mensaje se advierte que de no realizar la acción solicitada la empresa sufrirá consecuencias negativas.

Suplantación de identidad, phishing, es una de las formas más comunes de ciber ataques. — Ciber ataque vía Phising o suplantación de la identidad

CÓMO PROTEGER TU EMPRESA DE LAS AMENAZAS DE INGENIERIA SOCIAL

La formación en ciberseguridad es la vía más efectiva para defender a tu empresa de este tipo de ataques.

Concienciar a tus empleados para evitar que «piquen» en el anzuelo del email fraudulento y les den, por ejemplo las contraseñas de acceso a los sistemas de información, a la web de la empresa. O peor aún, que realicen transferencias bancarias como ha hecho Celia Zafra, jefa de Administración de la Empresa Municipal de Transporte (EMT) de Valencia engañada por un supuesto abogado de Deloitte.

Además de la sensibilización a los empleados es importante tener fuertes medidas de seguridad informática implementadas en los sistemas de gestión de información utilizados en la empresa.

Un buen asesoramiento especializado en ciberseguridad puede ayudar a tu empresa a combatir los ataques de los ciberdelincuentes cuando falle el elemento humano.