Este tipo de ciber crimen es una forma de robo de datos puede ser financieramente desastrosa para las empresas y sus clientes. La investigación realizada por Accenture encontró que un ataque cibernético exitoso cuesta a las empresas un promedio de $2.4 millones y toma alrededor de 50 días para resolver el problema. En un entorno donde la regulación, como GDPR, busca fortalecer la protección de los datos personales, es vital que las empresas se protejan contra estas amenazas y tengan bien entendido que es el phishing.
¿Qué es el phishing?
Uno de los mayores desafíos que enfrentan las empresas en su lucha contra las amenazas cibernéticas es la amplitud de las estafas de suplantación de identidad utilizadas. Pero si hay un denominador común que vincula todos los ataques de phishing, es la forma en la que los estafadores harán para ocultar sus verdaderas intenciones.
Una de las formas más comunes de phishing es enviar correos electrónicos que pretenden ser de un sitio de buena reputación. Puede ser uno de los métodos más antiguos, que se remonta a la década de 1990, pero el hecho de que siga siendo una de las tácticas de phishing más difundidas es una prueba de lo efectivo que puede ser.
El objetivo es engañar al destinatario haciéndole creer que el correo electrónico es genuino, con la intención de lograr que el objetivo descargue malware, lo que infringe el sistema o, de manera preocupante, entregue información personal, a menudo un nombre de usuario o contraseña que el estafador puede usar para acceder a otros datos.
Si bien las mejoras en la tecnología antivirus y los sistemas de filtración han ayudado a combatir la amenaza de archivos adjuntos maliciosos, no se puede decir lo mismo de los correos electrónicos. Los phishers pueden identificar fácilmente sus objetivos, a menudo a través de la información contenida en línea y en los sitios de redes sociales, y enviar correos electrónicos que parecen ser enviados por compañeros de trabajo, proveedores, clientes y otras fuentes confiables.
La creciente popularidad de esta forma es alarmante para las empresas, ya que el único obstáculo que se interpone entre los phishers y la información que desean es generalmente el empleado. No importa qué tan avanzadas sean las medidas de seguridad de una empresa, siguen siendo vulnerables si sus defensas humanas no son suficientemente conscientes de los riesgos.
Sin embargo, no se debe engañar a las empresas para que piensen que las tácticas de phishing están reservadas solo para internet. Las llamadas telefónicas de contactos desconocidos que solicitan detalles de la compañía es otro método utilizado por los delincuentes y debe generar señales de alerta. La intención de este tipo de phishing es ponerse debajo de la piel de la empresa, crear una imagen de cómo funciona y aprender qué procesos están implementados. Como resultado, los estafadores pueden infiltrarse en los sistemas de una empresa y acceder a información vital.
Incluso algo tan simple como el sitio web de una empresa puede resultar ser una fuente de información útil para los phishers. El acceso a ciertos detalles sobre el negocio puede permitirles suplantar mejor a colegas potenciales y contactos de negocios, lo que facilita el engañar a sus víctimas.
Sin embargo, independientemente de la forma que tome, el resultado final del phishing es siempre el mismo: los phishers utilizan la información que recopilan para acceder a información confidencial que puede abarcar todo el sistema de una empresa y amenazar su reputación.
La educación sobre el phishing es la clave
La prevalencia de los ataques de phishing plantea la pregunta: ¿qué pueden hacer las empresas para protegerse contra amenazas potenciales? Si bien las diferentes tácticas utilizadas por los phishers pueden hacer una lectura seria, lo que está claro es que los empleados se han convertido en la primera línea de la seguridad cibernética. Reducir su vulnerabilidad al ataque es crítico, y esto requiere educación.
Desafortunadamente, con la mayoría de las personas entendiendo lo que significa phishing, los empleados a menudo pueden sentirse demasiado confiados en su capacidad para identificar un ataque de phishing real.
Por ejemplo, la mayoría de los empleados reconocen que numerosos errores de ortografía, formateo extraño o un tono agresivo podrían sugerir un ataque de phishing.
Sin embargo, aún pueden ser engañados por el nombre de un remitente falso, ya que pueden reaccionar instintivamente cuando ven el nombre de un remitente en particular, sin investigar más. Del mismo modo, las solicitudes de los phishers pueden parecer inocentes, ya sea solicitar una actualización de cierta actividad o solicitar una confirmación de los detalles.
Las empresas deben asegurarse de educar a su personal, desde los miembros sénior hasta los niveles inferiores, sobre los efectos del phishing y cómo detectarlos. Esto incluye entrenamiento regular y pruebas de los empleados sobre las características más típicas de los ataques de phishing. Debe ser una segunda naturaleza verificar dos veces el nombre de dominio del remitente, cuestionar solicitudes y archivos adjuntos no solicitados y reconocer hipervínculos falsos.
Cuando se trata de las tácticas de phishing más desafiantes utilizadas, las empresas deben implementar un conjunto claro de criterios para que el personal los siga. Esto incluye comprender la importancia de evitar las redes públicas, vigilar al remitente de los correos electrónicos internos y verificar si se pueden compartir ciertos datos. Este tipo de doble verificación debe incluirse en cada miembro del personal para que sea realmente eficaz.
Además de esto, es clave que la administración se comprometa con todas las prácticas de defensa establecidas. No están exentos de la seguridad del negocio, por lo que es importante que los esfuerzos para abordar el problema sean para toda la empresa. No solo se debe educar a la alta gerencia sobre cómo identificar y responder a posibles ataques de suplantación de identidad (phishing), sino que también deben mostrar compromiso con estas prácticas para garantizar que el negocio en general siga el ejemplo.
El rol de TI ya no se limita a un departamento específico, especialmente cuando se trata de abordar las amenazas cibernéticas. Asegurar que todos los empleados estén capacitados, realice pruebas con regularidad, use buenos comportamientos de seguridad cibernética e informe sobre cualquier sospecha que es crucial si las empresas desean tener éxito en repeler los ataques de phishing.