El 58% de los usuarios ha recibido ataques de phishing (y casi un tercio reconoce haber caído). Con estos datos, es lógico pensar que no hay buenos ni malos momentos para recibir una de estas estafas. La suplantación de identidad (en esto se basa el phishing) está a la orden del día todo el año. También durante el verano.
De hecho, algunos analistas explican que los ciberdelincuentes aprovechan los períodos de vacaciones para estafar a los empleados que pueden estar más distraídos. “Los ciberdelincuentes aprovechan cualquier momento para ocasionar daño a las empresas, pero en verano, con los pensamientos puestos en las vacaciones, parece que este tipo de estafas se incrementa entre los empleados más despistados», explica Marc Rivero, Senior Security Researcher de Kaspersky.
La solución que propone el especialista es «realizar formaciones a los equipos y contar con soluciones de ciberseguridad que mantengan protegidos los datos”.
Y por supuesto, saber a qué nos atenemos es el primer paso para evitar caer en la trampa.
Así son las principales estafas de phishing «veraniegas»
La situación más habitual comienza con un correo electrónico. El objetivo de los ciberdelincuentes es que es que el usuario haga clic en el enlace incluido en el mensaje.
Para llevar a cabo esta técnica, los atacantes suelen manipular a la víctima, llamando su atención, provocando miedo o curiosidad por saber más de lo que informa el mensaje.
En concreto, durante verano los ciberdelincuentes utilizan estrategias como el uso del calendario de vacaciones, debido a que muchos empleados ya tienen sus planes y vacaciones organizados.
Los ciberdelincuentes envían e-mails haciéndose pasar por el equipo de recursos humanos, alegando una supuesta reprogramación repentina de las vacaciones y solicitando la confirmación de nuevas fechas. Aquí hay un ejemplo de este tipo de correos que han estado detectando los investigadores.
Los especialistas explican destacan que lo más importante es resistir la tentación de hacer clic sin pensar en el enlace, y pararse a pensar en la veracidad que puede tener ese correo.
Una vez superada la primera fase, hay que cerciorarse de que el remitente es quien dice ser. Puede que aparezca como nombre “Director de RR. HH.” o similar, pero hay que fijarse en la dirección de correo electrónico: ¿tiene el dominio correcto de la empresa o es diferente?
En el caso de coincidir y que parezca que todo está bien, hay que seguir con las comprobaciones. El propio texto puede darnos pistas, al estar mal escrito o la firma no coincide con el estilo corporativo.
Lo mejor de todo es hacer la comprobación directamente con la persona que supuestamente ha enviado esa comunicación que se sale de lo normal, a través siempre de un canal diferente, no respondiendo a ese mensaje.