Phishing en las empresas: claves para que tus empleados no piquen el anzuelo

El concepto de ‘Security by design’ ha sido durante mucho tiempo un pilar fundamental para los profesionales de la ciberseguridad. Este modelo no tiene más que el objetivo de garantizar que los productos se diseñen para ser lo más seguros posible con el fin de minimizar las posibilidades de que sufran vulnerabilidades en el futuro.

En los últimos años, este concepto se ha ampliado hasta ser considerado como el esfuerzo para integrar la seguridad en todas las secciones de una empresa, desde sus proyectos DevOps hasta las actividades cotidianas de sus empleados. Al crear una cultura en la que la seguridad es la prioridad, las organizaciones pueden ser más resistentes a las ciberamenazas y estar mejor equipadas para minimizar su impacto si sufren una brecha en su sistema de seguridad.

Los controles tecnológicos son una herramienta importante para ayudar a crear este tipo de cultura en que la seguridad es clave. Pero formar a los empleados y concienciarles en materia de phishing también lo es, ya que es primordial para mitigar una de las mayores amenazas para la seguridad de las empresas hoy en día. Es por eso que la formación y los programas de concienciación deben ser elementos básicos dentro de una empresa cuando el asunto es la ciberseguridad.

¿Por qué es tan efectivo el phishing?

Según el Informe de Amenazas de ESET T1 2022, las amenazas por correo electrónico experimentaron un aumento del 37% en los primeros cuatro meses de 2022 en comparación con los últimos cuatro meses de 2021. El número de URLs de phishing bloqueadas se disparó casi al mismo ritmo, con muchos estafadores aprovechando el interés por la guerra entre Rusia y Ucrania.

Las estafas de phishing siguen siendo una de las formas más exitosas para que los atacantes instalen malware, roben credenciales y engañen a los usuarios para que realicen transferencias de dinero a nivel corporativo. Eso se debe a una combinación de tácticas de suplantación de identidad que ayudan a los estafadores a hacerse pasar por remitentes legítimos, y técnicas de ingeniería social diseñadas para apresurar al destinatario a actuar sin pensar primero en las consecuencias de su acción.

Estas tácticas incluyen:

• Falsificación de IDs/dominios/números de teléfono de remitentes, a veces utilizando typosquatting o nombres de dominio internacionalizados (IDNs)
• Cuentas de remitente secuestradas, que son prácticamente imposibles de detectar como intentos de phishing
• Investigación en línea (a través de las redes sociales) para hacer más convincentes los intentos de phishing selectivo
• Uso de logotipos oficiales, encabezados, pies de página, etc.
• Creación de una sensación de urgencia o excitación que apresure al usuario a tomar una decisión
• Enlaces acortados que ocultan el verdadero destino del remitente
• Creación de portales de acceso, sitios web, etc., de aspecto legítimo

Según el último informe DBIR de Verizon, estos han sido los cuatro vectores que representaron la mayoría de los incidentes de seguridad el año pasado: credenciales, phishing, explotación de vulnerabilidades y botnets – los dos primeros giran en torno al error humano. Una cuarta parte (25%) del total de infracciones analizadas en el informe estaba asociada a ataques de ingeniería social. Cuando esto se combina con los errores humanos y el uso indebido de privilegios, el factor humano representa el 82% de todas las infracciones. Es por ello por lo que apostar por la seguridad para combatir estas debilidades debe ser una de las principales prioridades para cualquier CISO.

¿En qué puede desembocar el phishing?

Los ataques de phishing se han convertido en una amenaza aún mayor en los últimos dos años. Las personas que han trabajado desde sus casas con dispositivos sin actualizar y poco protegidos han sido el objetivo de los ciberdelincuentes. En abril de 2020, Google afirmó que estaba bloqueando hasta 18 millones de correos electrónicos maliciosos y de phishing cada día en todo el mundo.

Debido a que muchos de estos trabajadores están volviendo a la oficina, existe el riesgo de que estén expuestos a un mayor número de ataques basados en SMS (smishing) y llamadas de voz (vishing). Los usuarios que se desplazan pueden ser más propensos a hacer clic en enlaces y abrir archivos adjuntos que no deberían y esto podría dar lugar a ciberamenazas como:

• Descarga de Ransomware
• Troyanos bancarios
• Robo/violación de datos
• Malware de criptojacking
• Despliegue de botnets
• Robo de cuentas para utilizarlas en ataques posteriores
• Usurpación del correo electrónico corporativo (BEC) que resulta en la pérdida de dinero por facturas o solicitudes de pago fraudulentas

Las repercusiones financieras y de reputación son inmensas. Mientras que el coste medio de una filtración de datos se sitúa hoy en día en más de 4,2 millones de dólares (una cifra récord), algunas filtraciones de ransomware han costado mucho más dinero.

¿Cuáles son las mejores tácticas de concienciación?

Un reciente estudio global ha revelado que la formación y la concienciación en materia de seguridad para los empleados será la principal prioridad para las empresas y dónde invertirán más dinero durante el año que viene. Pero una vez decidido esto, ¿qué tácticas proporcionarán el mejor retorno de inversión?

A continuación, ESET detalla las mejores tácticas y herramientas a tener en cuanta con el asunto es formación en ciberseguridad:

• Formación completa sobre todos los casos de phishing (correo electrónico, teléfono, redes sociales, etc.).
• Ejercicios entretenidos que utilicen mensajes positivos en lugar de instaurar el miedo.
• Ejercicios continuos de simulación real y actualizados por el departamento de TI según la evolución de las campañas de phishing.
• Sesiones de formación continuas a lo largo del año con actividades cortas de no más de 15 minutos.
• Formación para todos los empleados, incluidos los temporales, personas en plantilla y altos ejecutivos. Cualquier persona con acceso a la red y una cuenta corporativa es un objetivo potencial de phishing.
• Análisis para proporcionar información detallada de cada trabajador, que pueda ser compartida y utilizada para mejorar las sesiones en el futuro.
• Actividades personalizadas adaptadas a funciones específicas. Por ejemplo, los miembros del equipo de finanzas pueden necesitar orientación adicional sobre cómo hacer frente a los ataques BEC.
• Actividades lúdicas como juegos o concursos. Estas pueden ayudar a motivar a los usuarios a “competir” contra sus compañeros en lugar de sentir que están siendo «enseñados» por expertos en TI. Algunas de las herramientas más populares utilizan técnicas de gamificación para hacer que la formación sea más entretenida, más fácil de usar y más atractiva.
• Ejercicios de phishing de tipo «hazlo tú mismo». Según el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), algunas empresas hacen que los usuarios construyan sus propios correos electrónicos de phishing, lo que les proporciona «una visión mucho más rica de las técnicas utilizadas».

Me interesa

• Los emails phishing más difíciles de detectar para los empleados
• Cómo ejecutar una prueba de phishing con éxito para tus empleados
• Tipos de phishing: cómo reconocerlos y mantenerte a salvo
• 7 formas prácticas de proteger a tu empresa de los piratas informáticos y los ataques de phishing
• Los 10 ciberataques de phishing en los que más suelen «picar» los empleados