Tipos de phishing y cómo evitarlos

 
Tipos de phishing y cómo evitarlos

El phishing está dentro de las amenazas virtuales más recurrentes de las que toda empresa puede ser víctima. Este delito con el cual los criminales buscan robar información personal como datos bancarios, lista de contactos, entre otros, y que incluso puede llegar al robo de identidad, no se presenta en un solo modus operandis, sino que arca varias modalidades.


Pero así como los malhechores buscan atacar a su empresa, colaboradores o clientes por distintas vías, también existen maneras de protegerse de cada una de ellas. El Tecnólogo Personal, Alex Neuman, comenta que todos los tipos de phishing pueden tratarse de evitar por diversos métodos tecnológicos, “pero el método más efectivo es la educación. Educando a los usuarios a ser escépticos y a verificar todo lo que reciben es como la mayoría de las empresas exitosas evitan el phishing”.


A continuación le mencionaremos algunas de las formas más recurrentes de phishing y cómo protegerse de ellas.


Spear phishing: Suele ser un ataque casi que personalizado a ciertos miembros de la empresa, donde el delincuente conoce datos relevantes como el nombre de la víctima, su cargo dentro de la compañía, extensiones, etc. En la mayoría de los casos se realiza por correo o redes sociales.

Consejo: Comprobar remitente, no abrir enlaces sospechosos, no brindar información confidencial y como en la mayoría de los casos, hacer la respectivas actualizaciones de su sistema.
 

Vishing: Este término es utilizado para referirse al ataque que utiliza la voz. Se trata de llamadas donde se suplanta la identidad de una empresa u organización, para tratar de engañar a la víctima y obtener la información que desean.

Consejo“En cuanto a vishing es también importante educar a los usuarios a no confiar en ninguna llamada entrante; deben ellos hacer las llamadas salientes a números conocidos para mayor seguridad”, aconseja Neuman.


Pharming: En esta práctica se redirige el nombre de dominio de una compañía de confianza a una página web prácticamente idéntica, pero que es utilizada para obtener los datos privados del usuario como contraseñas o datos bancarios.

Consejo:  “El pharming es difícil de evitar en el caso de las empresas porque afecta es a sus clientes y proveedores, y no necesariamente a ellos. Aún así, medidas de seguridad y educación de sus clientes y proveedores, como verificar los certificados SSL y usar doble factor de autenticación, ayuda muchísimo”.

 

Suplantación de CEO: Se obtienen o falsifican las credenciales del CEO de una empresa, o cualquier otro cargo importante, y se envían correos pidiendo información confidencial.

Consejo“Como se mencionó la educación también es la forma más efectiva; cierto es que se pueden registrar nombres de dominio parecidos o habilitar advertencias en correos y mensajes acerca de la verificación de la identidad del CEO, pero al final el eslabón más débil siempre será el usuario”.


Malware: Mediante correos electrónicos se introduce una pieza de malware como archivo adjunto o un enlace descargable y así atacar el equipo.

Consejo“En cuanto a malware lo más importante es mantener todas las actualizaciones de software y sistema operativo al día en todos nuestros dispositivos”, recomienda Neuman.

Phishing y COVID - 19.

Recientemente se conoció acerca de dos campañas de phishing vía WhatsApp que utilizan la actual situación provocada por el COVID-19 para robar información personal, propagar noticias falsas y entregar publicidad no deseada. En una de ellas se ofrece ayuda humanitaria, mientras que la otra suplanta la identidad de la compañía.

Algunas recomendaciones de seguridad para evitar caer en campañas de phishing de esta naturaleza son:

  • Sospechar de promociones y premios demasiado atractivos que llegan a través de servicios de mensajería y no por canales oficiales.
  • Verificar la dirección URL a la cual se invita a acceder al usuario.
  • Revisar en los sitios oficiales de las empresas si dicha campaña existe o no.
  • Hacer una búsqueda en Internet para corroborar si algún otro usuario reportó alguna queja o alerta.
  • Contar con una solución antivirus confiable que alerte al usuario cuando quiera acceder a un sitio de dudosa reputación.

Tener presente que con solo acceder a una página de Internet se puede estar entregando información personal, como el modelo del dispositivo, email asociado a la cuenta, geolocalización, entre otros datos sensibles.

Recuerde que no importa el tipo de ataque al que se enfrente, la primera barrera de defensa siempre será la educación, tanto en su empresa, como con todos sus colaboradores, e inclusive, con sus clientes. De igual manera mantenerse informado sobre cuáles son las nuevas prácticas de hackers y qué herramientas hay en el mercado para combatirlas, le ayudará a planificar estrategias, tomar acciones y mantenerse a la vanguardia dentro del indispensable mundo de la ciberseguridad.