No te dejes atrapar por el phishing

Como hemos visto estas últimas semanas, los ciberataques no paran. Muy por el contrario, van al alza, vulnerando a entidades públicas y privadas reconocidas a nivel nacional.

En este mes de la ciberseguridad, es importante enfocar nuestra atención y preocupación al eslabón más débil de la cadena de ataques: los usuarios. Nuestra falta de cultura, de protocolos y concientización a nivel corporativo, nos ha convertido en presa fácil de estos ciberdelincuentes para obtener información relevante y acceso a los sistemas corporativos en donde trabajamos. 

Por esto, la primera gran medida que se debe tomar para resguardar la seguridad de nuestras empresas y clientes es capacitar y educar respecto a los ciber riesgos que conllevan la vida digital a nivel privado y corporativo.

Los hackers comúnmente utilizan técnicas de “ingeniería social” para obtener la data que necesitan y preparar sus ataques hacia un usuario o corporación. 

Un ingeniero social es un mentiroso profesional, capaz de engañar sin que la víctima logre reaccionar o darse cuenta de la amenaza hasta que ya es demasiado tarde. ¿Cómo lo logran? Ganándose la confianza del usuario, quien, con un espíritu de colaboración “ante la solicitud” del ingeniero social, logra “ayudarlo”.

La amenaza del Phishing

El Phishing o suplantación de identidad, es una de las técnicas más usadas por los ciberdelincuentes, donde la distribución de malware se puede realizar a través de publicidad engañosa, sitios web maliciosos y campañas de correo electrónico, y una vez infectados los dispositivos de las víctimas, los atacantes pueden apoderarse de sus datos e información, y usarlos para cometer delitos cibernéticos como el robo de credenciales, denegación de servicio distribuido y rapto de información con ransomware.

Según el último reporte “Phishing Insights 2021”, realizado por Sophos, este tipo de ataques aumentaron considerablemente durante la pandemia, aprovechando el rápido incremento del teletrabajo; el crecimiento de las entregas a domicilio, que les sirvió para enviar mensajes fraudulentos; y la preocupación y ansiedad que generó la crisis sanitaria en las personas, quienes no se detenían a comprobar la veracidad del mensaje antes de hacer clic. 

Uno de los errores de las organizaciones es pensar que los ataques de phishing son una amenaza de nivel relativamente bajo. Sin embargo, este suele ser el primer paso, antes de ser impactado por uno más grande y complejo que se realizan en varias etapas, y en donde las estaciones de trabajo pueden terminar completamente encriptadas y secuestradas.

También existen otras técnicas utilizadas como vectores de ataque por los ciberdelincuentes, como ejemplo:

• El Trashing: los ciberdelincuentes buscan información relevante en la basura.
• El Smshing: técnica donde se utilizan mensajes SMS.
• El Vishing: se hace uso de llamadas telefónicas para hacerse pasar por alguien de soporte técnico, un cliente o proveedor.

En este contexto, es de vital importancia realizar acciones de concientización y capacitación a los usuarios para lograr evitar e identificar este tipo de amenazas con campañas de Phishing Ético realizadas por asesores de ciberseguridad, junto a la utilización de tecnologías gestionadas de endpoint anti ransomware, las 24 horas del día, los 365 días del año, porque para los ciberdelincuentes simplemente no hay descanso.

Alejandro Droguett
Gerente de Operaciones eBD