La amenaza del phishing y cómo evitarla
El phishing continúa siendo uno de los mayores peligros para las empresas ya que se trata del principal método de entrada de todo tipo de ciberataques y la tendencia está llamada a mantenerse durante este 2023.
Tabla de contenidos
ToggleLa concienciación y formación en ciberseguridad es clave ya que los ataques de ingeniería social, como el phishing, dependen en buena medida de factores humanos.
Los ataques de phishing no dejan de aumentar. Se calcula que un 83% de las organizaciones ha sufrido algún ataque de phishing. El dato se recoge en el informe State of the Phish Report 2022, elaborado por Proofpoint a partir de los resultados de una encuesta a una muestra de 600 profesionales de seguridad TI. Combatir el phishing debe ser una de las estrategias de ciberseguridad de las empresas.
Pero ¿qué es phishing? Se trata de una de las amenazas de ciberseguridad más comunes y también de las más antiguas. Su longevidad se debe, sobre todo, al éxito que tienen las campañas ya que bien a través del e-mail, de un SMS o de aplicaciones de mensajería instantáneas como WhatsApp o Telegram, se suplanta a un organismo público o a una compañía para que el receptor pulse en un enlace incluido en el mensaje y que le redirige a una página web fraudulenta a fin de que introduzca datos como la tarjeta de crédito, el DNI o la contraseña de acceso a la aplicación de banca online.
Tipos de phishing
Son varios los tipos de phishing con los que los ciberdelincuentes intentan atraer a sus víctimas. Entre los métodos de phishing más utilizados, el más común y frecuente es el phishing masivo, que consiste en el envío de correos electrónicos genéricos a un número importante de objetivos con la intención de que alguno de ellos no lo detecte y caiga en el engaño. Este tipo de phishing utiliza como medio de propagación el correo electrónico, aunque cada vez más se detectan mensajes de phishing en WhatsApp o en redes sociales.
En segunda posición se sitúa el phishing selectivo o spear fishing, un ataque dirigido que los ciberdelicuentes llevan a cabo cuando ya disponen de información personal del objetivo, lo que les permite elevar el nivel de credibilidad del mensaje. Y una tercera tipología es la caza con arpón o whaling, también conocido como CEO fraud, y en el que los ciberdelincuentes usurpan la identidad de un cargo de nivel superior en la empresa para lograr que sus subalternos revelen información confidencial o autoricen determinadas acciones como, por ejemplo, una transferencia.
Qué persigue el ciberdelincuente
El objetivo del ciberdelincuente que lleva a cabo una campaña de phishing es el de conseguir datos personales que le permita lanzar posteriormente una campaña mucho más personalizada y, por tanto, más creíble y, sobre todo, obtener datos bancarios para poder acceder a las cuentas de los usuarios para efectuar un robo de dinero. Un ejemplo de phishing es el phishing bancario, que es el más habitual. En este caso, el ciberdelincuente se hace pasar por el banco del usuario para obtener las claves de la aplicación de banca electrónica. Pero para obtener esos datos también utilizan el phishing de Correos, haciéndose pasar por la empresa transportista para obtener datos o el phishing utilizando el nombre de cualquier empresa energética.
Éxito de un ataque de phishing
Los resultados que consigue un ciberdelincuente con un ataque de phishing pueden utilizarse para ciberdelitos que van desde el fraude hasta el espionaje más avanzado, como advierten diferentes predicciones de ciberseguridad. Y, si bien es cierto que no todos los ciberataques logran su objetivo, los ciberataques que sí consiguen tener éxito pueden tener consecuencias devastadoras, no solo para las empresas, también para sus clientes.
Según diferentes informes se estima que, del total de ataques de phishing a las empresas, más de la mitad terminan en una violación de los datos de los clientes, mientras que en el 68% de las ocasiones cuentas y credenciales se vieron comprometidas. Otras consecuencias son infecciones de ransomware (46%), pérdida de datos y propiedad intelectual (44%) e infecciones con otro malware distinto al ransomware (27%).
Protegerse del phishing
Mantener a la organización a salvo del phishing exige una planificación de la ciberseguridad basada en la identificación de los riesgos, un servicio integrado en la propuesta Cloud & Cibersecurity by aggity, que también incluye una gama de productos diseñados para gestionar y dar seguimiento a la seguridad y continuidad de elementos tecnológicos, procesos y personas.
Es igualmente fundamental contar con las políticas y las prácticas de ciberseguridad adecuadas y, en este sentido, existen varias determinantes para evitar este tipo de ataques:
- Filtrado de DNS
- Filtrado del correo electrónico
- Antivirus / antimalware
- Concienciación y formación en ciberseguridad de los empleados
Este último punto es clave ya que los ataques de ingeniería social, como el phishing, dependen en buena medida de factores humanos. Por tanto, más allá de la monitorización y el control continuos, la mejor forma de evitar el error humano, que es la puerta al éxito de los ataques de phishing, es que los miembros de la organización cuenten con una capacitación permanentemente actualizada para poder distinguir los intentos de ciberataque y saber cómo actuar ante ellos.