Cómo evitar el phishing: medidas para no ser víctima de un ataque

• Administrador
• Martes, 27 Dic 2022

¿Sueles abrir todos los correos electrónicos o SMS que te llegan y pinchas en los enlaces que llevan?

La ‘pesca por internet’ es el ataque de ciberseguridad más utilizado y, también, uno de los más efectivos entre los hackers. Y aunque las empresas son cada vez más conscientes de este tipo de amenazas, su uso se acentuó considerablemente tras la pandemia del coronavirus.  

Como empresa de Ciberseguridad, en este artículo te vamos a dar unas pautas para evitar el phishing y saber qué hacer ante de un ataque cibernético de estas características.

De la cantidad de estudios que circulan actualmente sobre la materia, hemos querido destacar el informe ‘Stateof the Phish 2022’ de Proofpoint, que señala que 8 de cada 10 de los ataques ejecutados durante el año anterior fueron exitosos. Mientras, el 86% de las empresas encuestadas afirmaron que fueron víctimas de phishing.

Por su parte, durante el 2020 Google informó que llegó a detectar cerca de 18 millones de correos electrónicos de suplantación de identidad relacionados con la COVID-19, sobre todo emails cuyos remitentes se hacían pasar por organizaciones benéficas y ONG.

Aunque los ataques de phishing más conocidos son los que se hacen pasar por entidades bancarias, los ciberdelincuentes aprovechan las tendencias y temas de actualidad, como puedes ser una crisis económica, para realizar este tipo de estafa, que cada vez más va dirigidas a los particulares que al sistema empresarial en sí.

Qué es el phishing

El término ‘phishing’ proviene de la frase en inglés ‘password harvesting fishing’. Traducido de forma coloquial al castellano quiere decir “cosecha y pesca de contraseñas”, aunque con esta palabra nos referimos la suplantación de identidad que utiliza un tercero para aprovecharse de la confianza de un usuario.

Esta técnica basada en la ingeniería social, se utiliza para obtener, de forma fraudulenta, información confidencial de los usuarios, mediante el engaño, simulando ser otra persona o compañía.

En el caso de la suplantación de identidad mediante el correo electrónico, los hackers incluyen enlaces para conseguir extraer los datos, cuentas o información relevante y confidencial, de una persona o entidad, si pinchas en ellos.

El gancho suele ser un reclamo para ganar más dinero o un problema en la cuenta bancaria, en los casos relacionados con temas económicos.

Al igual que con el tiempo van mejorando las técnicas de hacking ético para estar preparado ante un ciberataque, también evolucionan las acciones malignas, que siempre aprovechan las nuevas tecnologías para seguir creciendo. Así, podemos encontrar actualmente otros tipos de phishing:

·         ‘Smishing’: muy similar, pero que utiliza los mensajes de texto como forma de ataque.

·         ‘Vishing’: mediante mensajes de voz.

·         ‘Spearphishing’: suele suplantar la identidad de uno o varios empleados de una empresa (puede ser el CEO o un cargo importante) para dar autoridad a ese email y así llegar a más usuarios finales o a un contacto concreto.

Qué hacer ante un ataque de phishing

Aunque existen diferentes técnicas y procesos para acceder a las cuentas de una empresa o particular, normalmente los hackers suelen acceder a la cuentas o datos del usuario minutos después de que este haya entrado en los enlaces “cebo”.

Además, en muchas ocasiones, estos accesos fraudulentos se ejecutan de forma manual y no automática, como suele hacerse en otros tipos de ciberataques.

Por todo ello, es importante saber detectar que estamos siendo víctimas de un ataque de phishing, y actuar con rapidez conociendo las medidas que hay que tomar para que los ciberdelincuentes no logren su objetivo o el daño sea el menor posible.

¿Cómo saber si eres víctima de la pesca de datos?

Antes de facilitarte ciertos consejos para evitar el phishing, es necesario que sepas cómo reconocer si has sido víctima de un ciberataque de estas características.

Si tienes sospechas de que hubieran podido acceder a tu cuenta de forma fraudulenta realiza las siguientes acciones:

·         Comprueba si tienes notificaciones sobre aviso de inicio de sesión, en la bandeja de entrada o en los “elementos enviados” (papelera).

·         Mira el registro de actividad para saber si se han ejecutado ciertas acciones en tu cuenta como, por ejemplo, marcar los mensajes como no leídos, en el caso de que tu proveedor de correo te ofrezca este servicio.

·         Revisa la carpeta de mensajes enviados por si hubiera algún correo que no lo hubieses mandado tú o algún asunto extraño en la bandeja de mails.

·         Revisa la papelera o la carpeta de correos eliminados por si hubiera avisos de “correo fallido” (delivery failure).

En el caso de que estés seguro de un ataque de phishing, cambia la contraseña y comprueba si el atacante ha modificado alguna de las configuraciones para seguir teniendo control de tu cuenta, como el sistema de recuperación de la password o claves de acceso o el reenvío de emails a otra dirección de correo.

Consejos para evitar picar en los electrónicos fraudulentos

Al igual que te explicamos en nuestro anterior post sobre prevenir ciberataques, para evitar el phishing es necesario que apliques ciertas prácticas y rutinas, tanto en el uso de tu cuenta de correo como el de tu ordenador o dispositivo móvil.

·         La primera recomendación para prevenir un ataque de phishing es aplicar el sentido común. Si recibes un mail de un destinatario que no conoces, ofreciéndote un regalo o similar, ya tienes la primera sospecha.

Y ante la duda, es mejor no abrir ese correo o clicar en ese mensaje.

·         Intenta identificar algunas señales claras de intento de estafa, como por ejemplo si son nombres muy similares a empresas reales y el asunto del mail viene en otro idioma en el que normalmente recibes los mensajes de ese destinatario.

·         Introduce tus datos confidenciales solo en páginas webs que utilicen protocolos seguros como “https://”

·         Mejora la seguridad de tu móvil, tablet u ordenador con un antivirus u otros métodos.

·         Activa la autenticación en dos pasos en tus cuentas.

·         Mantén los programas y softwares que utilices siempre actualizados.

·         Revisa periódicamente tus cuentas de correo por si ves algo sospechoso.

·         Mantente al día en los medios o páginas especializadas, sobre los avances de los tipos de ‘malware’ como el phishing u otro tipo de ciberataque, y otros métodos de seguridad que suelan utilizarse, como los sistemas SIEM.

Última recomendación: confiar una empresa de ciberseguridad

Aunque las compañías en general, suelen estar concienciadas de los peligros que conlleva internet, en algunas de ellas, sus empleados luego no aplican estas medidas en sus cometidos. Luego, cuando ya ocurre algún tipo de incidente, no queda más remedio que recurrir a un análisis forense informático, para poder depurar responsabilidades.

Por ello, es importante impulsar la formación en seguridad informática y que sea parte de la filosofía de esta empresa, sobre todo si usan diariamente procesos digitales.

Como expertos en Ciberseguridad, las consultorías tecnológicas de Berna Network incluyen este tipo de servicios formativos y de prevención de ataques cibernéticos, además de pautas para evitar el phishing u otros malwares.

¿Necesitas más información sobre nuestros servicios de seguridad informática?

CONTACTA CON NOSOTROS