Cada vez trabajamos más desde casa, algo que, como hemos expuesto en otros artículos, no deja de ser un imán para la ciberdelincuencia. Las empresas se muestran más preocupadas por la ciberseguridad de sus empleados y de sus redes corporativas, pero eso no evita que, como trabajadores, recibamos algún que otro mensaje electrónico invitándonos a facilitar contraseñas, números de tarjetas de crédito o direcciones enviados supuestamente desde el departamento de Recursos Humanos o desde un servicio de mensajería.
Estos rentables métodos de estafa ya depuran ciertas señales que nos hacían ponernos en alerta, tales como las faltas ortográficas o la combinación de idiomas. La constancia en la prevención debe ser nuestra máxima, solo así evitaremos los “cebos” utilizados en los ataques de phishing que la empresa de seguridad Sophos ha investigado y dado a conocer dentro del marco de la celebración del 8º Mes de la Ciberseguridad de la Unión Europea.
Por orden de importancia la técnica más exitosa de phishing es una carta de RR.HH donde se exponen los nuevos códigos de conducta de la compañía, algo que el personal identifica como de obligada lectura. En el top tres encontramos, además:
-
Una notificación donde se avisa de que la documentación fiscal va a llegar con retraso y se facilita un enlace para consultar la fecha.
-
Un mensaje de mantenimiento programado del servidor.
También es frecuente picar en el típico correo con el asunto “tiene una tarea nueva” para el que los cibercriminales se valen de una simulación del programa interno de la empresa. Las pruebas del sistema de correo electrónico requiriendo un clic rápido para ayudar a un compañero y la actualización de la política de vacaciones le siguen en la lista. En el número siete se sitúa un mensaje del “administrador del edificio de la empresa” informándonos de que algún trabajador se ha dejado encendidas las luces de su coche. En el mensaje se incluye un enlace para comprobar si es nuestro vehículo. Y ya entre los tres últimos recursos más habituales del phishing para trabajadores están:
-
El fallo en la entrega del servicio de mensajería.
-
El “documento seguro” enviado por RR.HH donde te solicitan un cambio de configuración para mejorar tu seguridad.
-
Una notificación simulada de LinkedIn.
¿Cómo distinguir una amenaza de phishing?
Sophos señala que la mayoría de las amenazas detectadas no eran sobre asuntos de emergencia, sino más bien sobre cosas cotidianas que sonaban lo suficientemente probables. Por eso, antes de clicar, pregúntate si la terminología usada es la habitual de tu empresa, o si se están empleando mensajes de programas que no son habituales en tu compañía.
En cuanto al remitente, lo mejor es que lo corrobores utilizando el directorio corporativo a través de medios fiables. Además, es importante que revises el enlace antes de clicar. A veces los ciberdelincuentes registran nombres que no nos hacen desconfiar (el nombre de tu empresa, por ejemplo), salvo por el hecho de que acostumbran a sustituir caracteres de letra por los de número o se les cuela alguna falta de ortografía.
Por último, no olvides reportar los correos sospechosos al equipo de seguridad para que puedan crear alertas y avisar al resto de la plantilla. Ya sabes que con la pandemia los ataques a empresas se han multiplicado, pero teniendo presentes los mencionados recursos de prevención, añadidos a otros que hemos ido contándote en estos meses, lograrás mantener tu dispositivo a salvo.
