La amenaza del phishing y cómo evitarla

El phishing continúa siendo uno de los mayores peligros para las empresas ya que se tratar del principal método de entrada de todo tipo de ciberataques y la tendencia está llamada a mantenerse en la segunda mitad de 2022.

La concienciación y formación en ciberseguridad es clave ya que los ataques de ingeniería social, como el phishing, dependen en buena medida de factores humanos.

Los ataques de phishing no dejan de aumentar. En 2021 un 83% de las organizaciones que sufrieron un ataque de phishing. El dato se recoge en el informe State of the Phish Report 2022, elaborado por Proofpoint a partir de los resultados de una encuesta a una muestra de 600 profesionales de seguridad TI.

Entre los métodos de phishing que utilizan los ciberdelicuentes, el más común y frecuente es el phishing masivo, consistente en el envío de correos electrónicos genéricos a un número importante de objetivos con la intención de que alguno de ellos no lo detecte y caiga en el engaño. 

En segunda posición se sitúa el phishing selectivo o spear fishing, un ataque dirigido que los ciberdelicuentes llevan a cabo cuando ya disponen de información personal del objetivo, lo que les permite elevar el nivel de credibilidad del mensaje. Y una tercera tipología es la caza con arpón o whaling, también conocido como CEO fraud, y en el que los ciberdelincuentes usurpan la identidad de un cargo de nivel superior en la empresa para lograr que sus subalternos revelen información confidencial o autoricen determinadas acciones como, por ejemplo, una transferencia.

Los resultados de un ataque de phishing pueden variar desde el fraude hasta el espionaje más avanzado, como advierten las predicciones en ciberseguridad para 2022. Y, si bien es cierto que no todos los ciberataques logran su objetivo, los ciberataques que sí consiguen tener éxito pueden tener consecuencias devastadoras, no solo para las empresas, también para sus clientes.

Del total de ataques de phishing a las empresas en 2021, más de la mitad terminaron en una violación de los datos de los clientes, mientras que en el 68% de las ocasiones cuentas y credenciales se vieron comprometidas. Otras consecuencias son infecciones de ransomware (46%), pérdida de datos y propiedad intelectual (44%) e infecciones con otro malware distinto al ransomware (27%).

Mantener a la organización a salvo del phishing exige una planificación de la ciberseguridad basada en la identificación de los riesgos, servicio integrado en la propuesta Cloud & Cibersecurity by aggity, que también incluye una gama de productos diseñados para gestionar y dar seguimiento a la seguridad y continuidad de elementos tecnológicos, procesos y personas.

Es igualmente fundamental contar con las políticas y las prácticas y, en este sentido, existen varias determinantes para evitar este tipo de ataques:

  • Filtrado de DNS
  • Filtrado del correo electrónico
  • Antivirus / antimalware
  • Concienciación y formación en ciberseguridad de los empleados

Este último punto es clave ya que los ataques de ingeniería social, como el phishing, dependen en buena medida de factores humanos. Por tanto, más allá de la monitorización y el control continuos, la mejor forma de evitar el error humano, que es la puerta al éxito de los ataques de phishing, es que los miembros de la organización cuenten con una capacitación permanentemente actualizada para poder distinguir los intentos de ciberataque y saber cómo actuar ante ellos.

Relacionados