Jorge está en su oficina, respondiendo tranquilamente a los emails matutinos. Y, de repente, recibe un correo fuera de lo ordinario que hace saltar las alarmas. El asunto es conciso: “Alerta de seguridad”.
Evidentemente, quiere saber qué ocurre. Lo abre, lee el primer párrafo para conocer cuál es el problema y, a continuación, hace clic en el enlace que le lleva a la página de la empresa en la que debe confirmar sus datos para mantenerse protegido. Sin saberlo, ha caído en la trampa y ha sido dirigido a una página infectada con malware para robarle la identidad. Jorge es una víctima del phishing. Pero no es la única persona que ha caído; algunos de sus compañeros de empresa también han sido embaucados. Esta práctica cibercriminal está tan extendida que un 21% de los ataques de phishing recurren al alarmante asunto “Alerta de seguridad” para engañar a sus víctimas.
Comparte esta lista con tus empleados
¿Quieres proteger a los empleados de tu empresa ante un posible ataque de phishing? Entonces, explícales que deben estar alerta ante cualquier email que reciban con cualquiera de los siguientes asuntos. Según un estudio realizado por KnowBe4, estos son los diez asuntos más comunes de emails que han dado lugar a un incidente de phishing:
- Security Alert – 21%
- Revised Vacation & Sick Time Policy – 14%
- UPS Label Delivery 1ZBE312TNY00015011 – 10%
- BREAKING: United Airlines Passenger Dies from Brain Hemorrhage – VIDEO – 10%
- A Delivery Attempt was made – 10%
- All Employees: Update your Healthcare Info – 9%
- Change of Password Required Immediately – 8%
- Password Check Required Immediately – 7%
- Unusual sign-in activity – 6%
- Urgent Action Required – 6%
El listado refleja que los usuarios hacen clic con mayor frecuencia en los emails con asuntos profesionales. Sin embargo, en el top 10 también hay ejemplos de correos electrónicos en los que hacen clic sin que estén relacionados con el ámbito laboral.
Aunque se están multiplicando las vías de ataque (a través de las redes sociales, por ejemplo), el email sigue siendo el canal preferido por los cibercriminales para lanzar este tipo de ataques. El motivo es evidente: es más efectivo enviar un email fraudulento que intentar que el usuario caiga en la trampa en una web o red social aleatoria. El método más común consiste en hacerse pasar por una entidad o persona legítima que solicita ciertos datos redirigiendo a una página web falsa: una empresa de mensajería que quiere confirmar el envío de un paquete, un empleado de recursos humanos de la empresa que solicita la actualización de los datos personales… Si el empleado no es precavido y rellena un formulario con sus datos será objeto de un robo de identidad que, además de tener graves implicaciones a nivel personal, puede afectar a la empresa. Incluso los empleados de grandes empresas tecnológicas han sido víctimas del phishing: trabajadores de Google y Facebook fueron engañados para transferir más de 100 millones de dólares que pensaban que iban destinados al fabricante de dispositivos electrónicos Quanta Computer.
¿Cómo prevenir el phishing?
Teniendo en cuenta que el 91% de los ciberataques empieza con un email de phishing, es importante tomar cartas en el asunto para minimizar el riesgo de que nuestra compañía sea atacada.
Además de concienciar a tus empleados de la importancia de seguir unos criterios de ciberseguridad básicos como no hacer clic en enlaces incluidos en emails o mensajes no fiables, o navegar solo por webs seguras (aquellas que empiezan por ‘https://’), es fundamental contar con soluciones que protejan a tu empresa de posibles incidentes de phishing.
Disponer de una protección antivirus ya no es suficiente. Los intentos de suplantación de identidad son cada vez más sofisticados y son capaces de sortear las barreras de las soluciones de seguridad tradicional. Ante esta situación, la mejor opción es optar por soluciones de seguridad avanzada que monitoricen y categoricen el 100% de los procesos en ejecución para adelantarse a cualquier tipo de comportamiento malicioso y reducir a cero la posibilidad de ser atacados. Solo así nos aseguraremos de que el robo de identidad de uno de nuestros empleados no desencadena una brecha de seguridad en nuestra organización.