Los ataques cibernéticos se han vuelto más comunes que nunca a medida que aumenta el conocimiento tecnológico, especialmente en el mundo de los piratas informáticos. En este punto, es fundamental explorar cómo puede proteger su empresa contra estafas de phishing y otros ataques cibernéticos. La vulneración del correo electrónico empresarial amenaza, explota y puede ser financieramente desastrosa para cualquier empresa.
En los últimos años, sin duda ha notado un aumento en las noticias sobre ciberataques. Muchos de estos son ataques de alto perfil, como el administrador de contraseñas LastPass o, más recientemente, MGM Hotels and Casinos. Pero con cada ataque de alto perfil que aparece en los titulares, millones de otros ataques a pequeñas empresas no se denuncian.
Pero estos ataques más pequeños a menudo pueden ser más desastrosos para las empresas más pequeñas que no tienen los recursos para afrontar el costo financiero y de reputación de un ciberataque o una violación de datos.
No solo eso, sino que las empresas pueden recibir multas o sanciones, sin mencionar posibles litigios civiles debido a regulaciones federales y estatales, si se comprometen los datos de los clientes. Todo esto significa que proteger su empresa de ciberataques y amenazas debe ser una máxima prioridad.
Para ayudarle a proteger su negocio, repasaremos una táctica común que utilizan los piratas informáticos, conocida como phishing, para que pueda implementar procedimientos y herramientas de software que ayuden a mitigar este riesgo creciente.
Comprender los vectores de amenazas
Un vector de amenaza es una vía que un hacker o un ciberdelincuente utilizará para ingresar a su sistema sin autorización o comenzar a comunicarse con alguien que pueda darle acceso.
Los piratas informáticos y los estafadores pueden emplear varios vectores de amenazas para atacar una empresa, a menudo explotando los sistemas conectados a Internet de la empresa. Cualquier programa o computadora conectada a Internet puede ser un posible vector de ataque.
Este tipo de ataques requieren un alto nivel de conocimiento técnico y esfuerzo, por lo que son menos comunes pero aun así pueden ser muy dañinos. Actualizar el software y utilizar las mejores prácticas de seguridad suele ser suficiente para mitigar estos riesgos.
¿Qué es un intento de phishing en Puerto Rico?
Un intento de phishing es cualquier correo electrónico o comunicación enviado con un pretexto falso para obtener una respuesta que ayude al atacante a obtener acceso a un sistema o a información confidencial de la cuenta, como el robo de identidad.
¿Cómo funcionan las estafas de phishing?
El phishing funciona enviando un correo electrónico falso que engaña al destinatario para que realice una acción que cree que es legítima. Un ejemplo sencillo sería un correo electrónico que dice ser de su banco y le pide que haga clic en un enlace y confirme su nombre de usuario y contraseña o que introduzca un número de tarjeta de crédito.
El enlace le llevará al sitio web falso del atacante, que ha hecho parecer legítimo. Luego, la víctima ingresa su información de inicio de sesión, que se la entrega a los piratas informáticos.
Las actividades de phishing generalmente ocurren a través del correo electrónico, aunque el phishing por mensajes de texto también está ganando popularidad y emplea las mismas técnicas básicas que el correo electrónico, pero apunta a su número de teléfono móvil.
Otro ejemplo común es un correo electrónico que parece provenir de alguien importante o incluso de su organización. Contiene un documento o archivo que le solicita descargar y abrir.
Este documento o archivo instalará malware una vez abierto o algún otro código malicioso que le dé al atacante más acceso a esa computadora y posiblemente a los datos confidenciales de la empresa.
¿Qué tipo de ataque es el phishing?
Entonces, ¿qué tipo de ataque es el phishing? El phishing es un ataque de ingeniería social. No requiere mucha habilidad técnica y depende más de la interacción humana. Una de las formas más comunes de ingeniería social es a través de estafas por correo electrónico porque es fácil llegar a un gran número de personas con relativa facilidad y a un costo muy bajo.
Una técnica de ataque de phishing común es dirigirse a personas dentro de una empresa o negocio. Los phishers con frecuencia se dirigen a personas dentro de una empresa o negocio mediante una técnica conocida como ataque de ingeniería social, aprovechando normas sociales como conversaciones telefónicas o comunicaciones por correo electrónico.
¿Qué significa phishing en el correo electrónico en Puerto Rico?
Phishing significa esencialmente “pescar” porque el hacker espera atrapar a alguien que responda a su correo electrónico falso o fraudulento. El término proviene de un juego de ortografía, que es común en la comunidad de hackers.
¿Cuáles son dos técnicas de phishing?
Las técnicas de phishing se dividen principalmente en dos categorías.
Correo no deseado
El primero es el spam de correo electrónico común, a veces denominado spam phishing. Las estafas de phishing más comunes se basan en un “juego de números” en el que el atacante envía tantos correos electrónicos falsos como sea posible con la esperanza de conseguir que alguien caiga. De hecho, los atacantes envían 3,400 millones de correos electrónicos no deseados cada día. Los correos electrónicos no deseados generalizados se detectan fácilmente antes de que la mayoría cause algún daño.
Phishing de lanza
La segunda categoría más común es el phishing, que incluye perseguir a personas específicas con información específica obtenida mediante ingeniería social. Esto también puede incluir una técnica conocida como caza de ballenas, que apunta a personas o ejecutivos de alto perfil. Los ataques de phishing pueden ser a menudo los más difíciles de detectar porque implican el mayor esfuerzo por parte del atacante.
Técnicas de phishing sofisticadas en Puerto Rico
Los ejemplos anteriores pueden parecer fáciles de detectar, y pueden serlo. Sin embargo, los ejemplos se simplificaron y los atacantes ahora utilizan campañas de phishing mucho más sofisticadas para crear la ilusión de que su correo electrónico de phishing es real.
A continuación se detallan algunas técnicas de ataque que debe tener en cuenta para evitar ser víctima de un correo electrónico fraudulento.
Remitente falsificado
Los piratas informáticos pueden hacer que el correo electrónico parezca provenir de cualquier lugar, incluso cuando marca el campo “de” en los programas de correo electrónico más comunes, como Google. Un vistazo a quién envió el correo electrónico puede convencer a muchos usuarios de que el correo electrónico debe ser legítimo. Sin embargo, es importante comprender que los atacantes pueden falsificar o manipular estos campos fácilmente.
Otro truco común es utilizar un dominio (dirección web) muy similar al falsificado. Los piratas informáticos hacen esto cambiando una letra del nombre o utilizando un subdominio con el nombre real de la empresa.
Los usuarios pueden crear subdominios con cualquier nombre, incluso con marcas registradas o nombres de marca. Por lo tanto, ver la marca o el nombre corporativo en el dominio del remitente puede engañar al usuario haciéndole creer que es auténtico.
Remitente falso en Puerto Rico
Mencionamos cómo los atacantes pueden falsificar el dominio de un remitente. Pero también pueden falsificar incluso la identidad personal del remitente.
Con un ataque más sofisticado, es posible que el hacker ya haya obtenido acceso a otros nombres en su libreta de direcciones o a otros empleados de su empresa. Aunque pueden hacer esto a través de otros métodos de piratería, a veces un simple desplazamiento por los perfiles disponibles públicamente, como LinkedIn, puede revelar esta información.
Luego, el atacante creará un correo electrónico que parecerá provenir de alguien que la víctima conoce, como un gerente, cliente o proveedor. Este tipo de phishing está dirigido a ese individuo específico a través de información obtenida a través de otros métodos de ingeniería social.
Gráficos y diseños falsos
Los piratas informáticos suelen utilizar correos electrónicos reales de la empresa que están falsificando para crear los correos electrónicos de phishing que envían. Esto significa que los logotipos y el diseño general pueden parecer idénticos a cualquier correo electrónico real que envíe una empresa legítima.
Es muy fácil crear un correo electrónico falso que parezca idéntico a un correo electrónico real que enviaría una empresa. Entonces, el hecho de que parezca legítimo y tenga el logotipo correcto no prueba la validez del correo electrónico.
Urgencia
Otra cosa a tener en cuenta es si el correo electrónico genera una sensación de urgencia. La urgencia puede parecer una notificación de que su cuenta ha sido comprometida o que se debe tomar alguna medida de inmediato para evitar daños.
Esto hace que el destinatario baje la guardia ya que cree que tiene que actuar de inmediato sin pensarlo bien. Una sensación de urgencia a menudo puede ser una señal de un correo electrónico de phishing si solicita información confidencial o le pide que descargue algo.
Cómo proteger su empresa contra estafas de phishing en Puerto Rico
Existen algunas prácticas recomendadas para ayudar a su empresa a mitigar el riesgo de estafas por correo electrónico y ataques de phishing. A continuación, cubriremos los pasos más importantes para proteger su empresa contra estafas de phishing y mantener sus datos seguros.
Software malicioso y antivirus
Instalar software antimalware y antivirus en sus sistemas es una de las formas más rápidas y sencillas de proteger su empresa contra estafas de phishing. Se trata de una inversión relativamente pequeña en comparación con los daños que se pueden evitar. El retorno de la inversión resultante es sustancial.
También puede configurar la mayoría de los programas antivirus para que se actualicen automáticamente. Muchos de estos programas requieren muy poco mantenimiento, si es que requieren alguno. Esto los hace fáciles incluso para las pequeñas empresas que de otro modo no tendrían los recursos para mantener el software.
Mantenga todo el software actualizado
El software actualizado es fundamental para proteger su empresa contra estafas de phishing. Sin embargo, las empresas suelen pasar por alto esta área con el tiempo debido a otras cuestiones más apremiantes.
La mayoría del software se vuelve vulnerable en algún momento cuando los piratas informáticos encuentran problemas de seguridad. Las empresas de software de buena reputación generalmente lanzan rápidamente parchos de seguridad para cerrar estos agujeros, pero las empresas deben tener un procedimiento para instalar las actualizaciones cuando estén disponibles.
Al igual que el software antivirus, muchas aplicaciones empresariales tienen la opción de actualizarse automáticamente cuando se trata de parchos de seguridad. Asegúrese de habilitar esa opción en todas sus aplicaciones que la admitan.
Para organizaciones más grandes, una solución de administración y monitoreo remoto (RMM) puede ayudar a administrar todas las computadoras de su empresa desde una ubicación y configurar actualizaciones periódicas para garantizar que todas estén actualizadas.
Tenga un plan de respaldo sólido
Como empresa, la mejor manera de protegerla contra estafas de phishing es contar con herramientas de prevención de ciberseguridad. Sin embargo, incluso con las mejores políticas, aún puede ocurrir una infracción. Es por eso que toda empresa necesita un plan de respaldo sólido.
Para recuperar datos de un momento anterior al compromiso, debe mantener copias de seguridad continuas y continuas de varios sistemas.
Dependiendo del tamaño de su empresa, es posible que desee considerar un proveedor de servicios especializado en copias de seguridad. Estos servicios utilizan los últimos protocolos y mejores prácticas para garantizar que sus datos estén seguros en caso de que alguna vez necesiten restauración.
Trabajadores remotos y riesgos de phishing en Puerto Rico
Un cambio reciente al que muchas empresas han tenido que enfrentarse es la rápida adopción del trabajo remoto. Si bien el trabajo remoto tiene muchos beneficios, la velocidad con la que las empresas lo han adoptado ha dejado a muchas personas vulnerables desde el punto de vista de la seguridad.
Dado que los trabajadores acceden a los sistemas de su empresa desde todas partes y desde varios dispositivos, es mucho más difícil mantener la seguridad y proteger su empresa contra estafas de phishing.
A continuación se ofrecen algunos consejos útiles para mantener a los trabajadores remotos y a su empresa a salvo de ataques de phishing.
Utilice la autorización multifactor (MFA)
Los trabajadores deben proteger sus cuentas con autorización multifactor (MFA) cuando sea posible. Básicamente, MFA requiere una segunda confirmación y una contraseña. Los servicios gratuitos como Authy o Google Authenticator hacen que su implementación sea relativamente fácil y económica para usuarios y empresas.
Estas aplicaciones funcionan enviando un código único al usuario a través de la aplicación cuando intenta iniciar sesión en un sitio web. Una vez que haya iniciado sesión, el código ya no funciona. Incluso si una contraseña está comprometida, los piratas informáticos normalmente no pueden obtener acceso a una cuenta comprometida si emplea MFA.
Educación y sensibilización en Puerto Rico
Es posible que algunos trabajadores remotos no comprendan completamente los riesgos de los ataques de phishing o incluso las señales. Esto significa que las empresas deben educar a sus empleados sobre qué buscar y cómo mitigar los riesgos para proteger su negocio contra estafas de phishing.
El software y otras herramientas pueden ayudar drásticamente a reducir los riesgos de phishing, pero la primera línea de defensa es contar con empleados capacitados.
Asegúrese de que sus trabajadores sean conscientes de los siguientes riesgos:
Suplantación de identidad
La cuenta de correo electrónico del remitente puede falsificarse fácilmente. Indique a los empleados que si reciben un enlace o un archivo adjunto que no esperan, lo confirmen por teléfono, mensaje de texto o correo electrónico al remitente original. No responda al correo electrónico sospechoso de ser falsificado.
Emergencias o Urgencia
Los empleados deben saber que los correos electrónicos que dicen ser sobre una emergencia o asuntos urgentes que necesitan atención inmediata pueden ser una señal de un correo electrónico de phishing. Asegúrate de que nunca respondan con información personal hasta que confirmen el mensaje.
Punto de contacto
Si tiene un departamento o personal de IT, asegúrese de que los empleados sepan que pueden comunicarse con un miembro de IT si tienen alguna pregunta sobre un correo electrónico sospechoso. Muchos empleados se ponen nerviosos al preguntar sobre este tipo de cosas, así que asegúrese de que comprendan que no hay razón para dudar si un empleado tiene preguntas sobre la validez de un correo electrónico.
Informe cualquier sospecha de incumplimiento en Puerto Rico
Si un empleado es víctima de un ataque de phishing, asegúrese de que sepa que debe comunicarse con el personal de IT de inmediato. Una acción rápida puede limitar el daño una vez que se produce una infracción. Pero una infracción que no se detecta porque no se informó puede ser mucho más dañina.
Utilice contraseñas únicas y un administrador de contraseñas
Indique a los empleados que siempre utilicen contraseñas adecuadas y que no compartan contraseñas entre diferentes sistemas. Un administrador de contraseñas también puede ayudar con esto. Las contraseñas seguras con MFA adecuada generalmente pueden detener la mayoría de los ataques de phishing, incluso si el empleado hace clic en un enlace malicioso.
Utilice URL marcadas como favoritas, no enlaces
Al echar un vistazo rápido a un enlace en un correo electrónico, puede parecer legítimo, pero puede tener solo una letra o un número y llevará al usuario a un sitio web malicioso. Hacer que los empleados utilicen habitualmente URL marcadas como favoritas en sus navegadores web cuando visiten sitios web o servicios comunes.
Cómo los departamentos de IT pueden ser objetivos de ataques de phishing en Puerto Rico
Los empleados suelen ser blanco de estafas por correo electrónico e intentos de phishing, pero eso no significa que los departamentos de IT sean inmunes a estas amenazas. No es raro que los departamentos de IT reciban correos electrónicos de phishing. Los departamentos de IT son el objetivo específico debido a su conocimiento y acceso a sistemas críticos.
En estos casos, los atacantes envían correos electrónicos desde cuentas que pretenden parecer empleados de la empresa. Utilizando técnicas de ingeniería social como scraping de LinkedIn o herramientas de prospección de correo electrónico destinadas a clientes potenciales, los piratas informáticos pueden encontrar fácilmente la identidad y las direcciones de correo electrónico de los empleados.
Luego, se hacen pasar por estos empleados y se comunican con el departamento de IT para solicitar restablecimiento de contraseñas u otros servicios que les ayuden a obtener acceso a varios sistemas. Para empresas más grandes, su departamento de IT debe ser consciente de estos problemas y tomar las mismas precauciones que el resto de los empleados al responder correos electrónicos.
Para ayudar a combatir estafas por correo electrónico como esta, su departamento de IT debería utilizar un sistema de tickets o una aplicación de asistencia técnica. Si un empleado necesita ayuda, debe abrir un ticket. Esto ayuda a confirmar la identidad del usuario.
Los correos electrónicos e incluso las llamadas telefónicas al departamento de IT se pueden falsificar fácilmente, dando al hacker acceso inmediato sin siquiera superar ninguna medida de seguridad tradicional.
Consejos finales para prevenir estafas por correo electrónico
Los intentos de phishing y las estafas por correo electrónico van en aumento y se vuelven más sofisticados cada día. Lo que solían ser correos electrónicos spam fáciles de detectar con mala gramática ahora son correos electrónicos cuidadosamente elaborados y dirigidos que parecen auténticos.
Sin embargo, detener estos intentos a menudo se reduce a protocolos de seguridad básicos que deberían ser la base de cualquier empresa de cualquier tamaño. Estos fundamentos incluyen el uso de software de seguridad, como antivirus/antimalware, que esté siempre actualizado.
A continuación, asegúrese de actualizar todo el software de seguridad tan pronto como estén disponibles los parches y correcciones de seguridad. Si es posible, utilice el software RMM para mantener todo actualizado en toda su red empresarial.
Por último, la educación es clave para mantener a los empleados en guardia. Asegúrese de que sus empleados sepan qué buscar y que tengan a alguien con quien puedan contactar dentro de su organización si alguna vez sospechan que un correo electrónico es fraudulento.
Siguiendo estos fundamentos de las mejores prácticas de seguridad, las empresas deberían poder mitigar los riesgos derivados del riesgo cada vez mayor que plantean el phishing y las estafas por correo electrónico.
ECS Payments es un líder confiable en procesamiento de pagos para empresas de todo el mundo. Nuestras soluciones de pago seguras e innovadoras permiten a las empresas reducir costos y mejorar la experiencia del cliente. Comuníquese con ECS Payments hoy para obtener más información sobre nuestras soluciones de pago que pueden llevar su negocio al siguiente nivel.