El phishing sigue experimentando fuertes crecimientos convirtiéndose en una de las principales amenazas de seguridad. Sin embargo, pese a estar tan presente y haber incrementado su sofisticación, es posible evitar ser víctima de un ataque de phishing o, al menos, minimizar su impacto siguiendo una serie de pautas.
La proliferación del phishing, y de las técnicas que emplean los ciberdelincuentes para llevar a cabo sus estafas está incrementando las víctimas que caen en ellos. Unas amenazas que, a menudo, son la puerta de entrada de otros ciberataques de mayor magnitud.
De acuerdo con los datos de la última edición del informe ‘Cloud and Threat Report: Global Cloud and Malware Trends’ de Netskope, las descargas de phishing han crecido un 450% en el último año.
Además, el estudio alerta del uso de técnicas de optimización de motores de búsqueda (SEO) para mejorar el posicionamiento de archivos PDF maliciosos en motores de búsqueda como Google y Bing.
Esto, unido a una mayor sofisticación de las técnicas de ingeniería social empleadas, ha elevando el número de víctimas que caen en los ataques de phishing al descargar archivos maliciosos, especialmente adjuntos a correos electrónicos. Con ello se abre la primera puerta para todo tipo de ataques, desde el robo de contraseñas hasta la descarga de malware que puede proporcionar una puerta trasera a una red corporativa.
El incremento de estas amenazas añade aún más presión a los equipos de TI de las organizaciones. Sin embargo, cada persona, además de ser una puerta de entrada a estos riesgos, también constituye la primera barrera para evitar su propagación.
Estas son las 9 buenas prácticas esenciales que pueden ayudar a las organizaciones y las personas a detener los ataques de phishing o, al menos, a mitigar sus efectos.
No responder a desencadenantes emocionales
Los ciberdelincuentes utilizan técnicas de ingeniería social cada vez más sofisticadas para convencer a los usuarios de que descarguen archivos maliciosos o accedan a enlaces. Para ello utilizan a menudo los conocimientos del propio usuario y apelan, en muchas ocasiones, al componente emocional.
Por eso es importante que los usuarios conozcan la psicología que hay detrás de los correos electrónicos de phishing y que alientan al usuario a actuar rápidamente, generalmente por un temor percibido de perderse algo.
Mensajes que simulan ser de empresas de mensajería con entregas fallidas, premios no reclamados o que parecen proceder del departamento de Recursos Humanos informando sobre cambios en políticas corporativas, son claros ejemplos. Con estos cebos, además de los que buscan aprovechar tragedias, alientan al usuario a actuar con urgencia.
Ante estos escenarios los usuarios deben preguntarse si le están empujando a actuar con urgencia o si está siendo manipulado. Esta reflexión ayudará a reconocer y evitar una estafa por phishing.
Políticas y procedimientos frente a emergencias
A menudo, los phishers juegan con las emociones al pedir algo de forma urgente con la esperanza de que les transfiera información o incluso dinero. Por eso es importante que las organizaciones establezcan procedimientos de emergencia claros.
Es importa dejar absolutamente claro por qué y cuándo la empresa puede comunicar a un empleado una solicitud de emergencia, explicando cómo pueden comprobar la veracidad. Asimismo, también es clave explicar qué solicitudes no harán nunca, como exigir transferencias bancarias inmediatas sin usar procesos de pago estándar.
De esta forma, todos los procesos internos deben estar alineados para asegurarse de que un intento de phishing no causa. Por lo tanto, cualquier solicitud de información confidencial, incluidas las contraseñas, debe confirmarse a través de un medio diferente.
En esta línea de prevención, implementar políticas básicas sobre el intercambio de datos confidenciales. Contar con un pequeño grupo de empleados informado de las credenciales de inicios de sesión, o no utilizar enlaces en los emails sino aprovechar la intranet corporativa, pueden ser de gran utilidad.
Formación para la detección de phishing
Muchos usuarios creen que tienen los conocimientos suficientes para detectar un correo electrónico de phishing, pero esto solo puede ser un exceso de confianza. Mantener a los usuarios a la vanguardia significa formarlos continuamente y evaluar el alcance de su conocimiento.
Contratar a una empresa de pruebas que ayude en esta labor, personalizando los ataques de phishing, pueden ser de gran utilidad para determinar realmente la capacidad de los equipos para frustrar un ataque sofisticado.
Esta formación debe adaptarse a cada audiencia. Los equipos de seguridad pueden educar a unidades de negocios específicas sobre las campañas de phishing de las que podrían ser víctimas.
Denunciar correos electrónicos sospechosos
Un sistema de recompensas por detectar phishing puede ser más efectivo que muchas pruebas y escenarios que veamos en el mundo real.
Crear un sistema de informes interno para posibles estafas de phishing puede contribuir a identificar positivamente los correos electrónicos que quieran intentarlo y evitarlo.
Además, si se quiere impulsar que los usuarios denuncien correos electrónicos sospechosos, es mejor ponérselo fácil. Adjuntar una copia del correo electrónico sospechoso a un nuevo correo y enviarlo al departamento TI puede ser una opción ágil y sencilla evitando engorrosos informes.
Supervisar la ‘dark web’
La monitorización de la ‘dark web’ debe ser una parte fundamental de la estrategia de cualquier organización para prevenir los ataques de phishing antes de que lleguen a las bandejas de entrada de los empleados.
Y es que muchas operaciones de phishing comienzan con la venta o filtración de credenciales de la empresa que venden en mercados o foros de la deep web.
La monitorización continua del nombre de la empresa y las direcciones de correo electrónico corporativas podría alertar a las empresas si pueden estar a punto de ser blanco de una campaña de phishing, mientras que los delincuentes se encuentran en la fase de reconocimiento.
Qué información te convierte en objetivo
Todo el mundo debería ser consciente de los peligros potenciales del phishing pero, sobre todo los nuevos empleados, deben estar en guardia. Los phishers suelen buscar actualizaciones en LinkedIn, y otras redes sociales y páginas online, para después dirigirse a esas personas ya que las consideran más vulnerables.
Es importante advertir a los nuevos empleados de estas amenazas que pueden llegar a través del correo electrónico o como mensaje SMS. Junto a estos empleados, los líderes de las organizaciones también son un objetivo clave para muchos ciberdelincuentes ante la información que manejan.
Es por eso que se deben alentar a los ejecutivos y empleados de alto nivel a usar restricciones de privacidad en las redes sociales, así como a eliminar o minimizar la información personal de los perfiles públicos lo mejor que puedan.
Herramientas y tecnologías para prevenir el phishing
Aunque lo ideal sería no recibir nunca correos electrónicos de phishing, se puede reducir el volumen que llega a las bandejas de entrada.
Para ello es importante utilizar una buena solución de prefiltrado de correo electrónico que funcione antes de que el spam llegue al servidor de correo.
La implementación de la autenticación multifactor (MFA) también puede ser de gran ayuda ya que pude bloquear a un phisher que ha conseguido engañar a alguien para que revele su nombre de usuario y contraseña.
El uso de un Secure Web Gateway (SWG) puede bloquear páginas de phishing utilizando una combinación de inteligencia de amenazas, firmas, heurística e incluso aprendizaje automático para identificar y bloquear páginas de phishing en tiempo real.
También puede ser de utilidad un gestor de contraseñas ya que no solo evitará que los empleados reutilicen las contraseñas, sino que también reconocerán una página de phishing falsa y no completarán automáticamente las credenciales como lo harían en una página real.
No obstante, una medida efectiva para neutralizar los correos electrónicos de phishing es permitir solo aquellos que sean sin formato y restrinjan los archivos adjuntos. Se trata de una opción efectiva pero muy impopular, y que puede hacer perder muchas oportunidades a los negocios.
Identificar los correos legítimos
Establecer políticas y herramientas que facilitan a los empleados el reconocimiento de mensajes de phishing es fundamental.
Una de las prácticas más extendidas es marcar los correos electrónicos no enviados desde el dominio de la empresa como ‘Externo’, una advertencia visual que permite a los empleados prestar más atención a esos mails e ir con precaución.
Otra solución para detectar correos electrónicos amenazantes es integrar el sistema de correo de la organización con una fuente de inteligencia para crear una lista negra y evitar recibir correos electrónicos de una fuente maliciosa. De esta forma, después se puede rastrear un mensaje de correo electrónico para ver los saltos entre servidores. Cuando la IP maliciosa coincide con las de la lista negra, el correo electrónico debe considerarse no válido.
Tener un plan de respuesta
Hay que partir de la premisa de que los usuarios finales no son expertos en seguridad. Por eso, aunque se van familiarizando con las políticas y los procedimientos que permiten garantizar una mayor seguridad, la responsabilidad final recae en el equipo de seguridad.
En ocasiones, incluso siguiendo al pie de la letra estas buenas prácticas, es posible sufrir un ciberataque de phishing. En ese caso, hay que estar preparado para lo que viene a continuación.
Es imperativo que los equipos de TI tengan un plan para dar respuesta a los usuarios que sufren un ataque de phishing. Disponer de las herramientas y los mecanismos adecuados para actuar una vez se produce un ataque de phishing de éxito será fundamental para que los equipos de seguridad puedan avanzar.
