Esta misma Semana, Josu Erkoreka, consejero de Seguridad del Parlamento Vasco, presentaba la «Memoria 2022 de la Delincuencia en Euskadi», que mostraba un incremento significativo de la delincuencia en el País Vasco. Concretamente, los datos muestran que se ha producido un incremento de los delitos de un 20% respecto a 2021 y de un 9,3% respecto a 2019.
Uno de los principales motivos de este incremento es el auge de la ciberdelincuencia: de los 133.989 delitos producidos en Euskadi en 2022, 20.147 (un 15%) se produjeron en el ciberespacio. Esto supone un incremento del 41% de los ciberdelitos respecto a 2019.
Por ello, hoy queremos centrarnos en el phishing, una de las ciberestafas más habituales en el día a día de las empresas. Te traemos 5 claves para que seas capaz de identificar el phishing y sepas cómo actuar si tú o alguno de tus empleados o compañeros cae en una estafa de este tipo.
5 Claves para proteger del Phishing a tu negocio
¿Qué es el phishing?
Comencemos por identificar de qué hablamos cuando hablamos de phishing.
A día de hoy, es prácticamente imposible que no hayas sido una potencial víctima de este tipo de estafa, si es que no has tenido la mala suerte de llegar a caer en ella.
El phishing es ese e-mail o web sospechoso que, mediante el engaño y suplantación de la identidad, te incita a descargar un fichero malicioso, pinchar en un enlace que te dirige a una página web fraudulenta o facilitar datos sensibles, como por ejemplo tus datos bancarios.
El objetivo más habitual de los ataques de phishing es engañarte para que les des dinero, robarte información para venderla o pedirte dinero a cambio o, en algunos casos menos habituales , «secuestrar» tus datos para utilizarlos con fines políticos o ideológicos.
En muchos casos, los e-mails de phishing son muy fáciles de identificar, pero cada vez son más sofisticados y creíbles, por ello es necesario aprender unas pocas técnicas básicas que te ayudarán a detectarlos y evitarlos.
¿A qué tipo de empresas afecta el phishing?
Cualquier tipo de empresa o individuo es una potencial víctima de una estafa de phishing. De hecho, las empresas más pequeñas y con menos recursos y educación sobre seguridad informática son las que tienen más posibilidades de caer en una estafa de phishing. Las empresas grandes, habitualmente, disponen de mecanismos y protocolos de actuación ante este tipo de ciberataques, de los cuales las pequeñas empresas y autónomos suelen carecer.
Pero lo cierto es que no necesitamos disponer de grandes recursos para saber cómo actuar ante este tipo de ciberataques. Basta con unas pocas pautas sencillas para saber identificarlos y saber cómo actuar si recibimos un e-mail sospechoso.
5 Claves para proteger a tu empresa del Phishing
Evitar recibir un e-mail de phishing es prácticamente imposible. Seguro que, en tu día a día, recibes decenas de e-mails sospechosos tratando de sustraerte información o de infectar tu equipo con malware. Por ello, como no podemos evitar al 100% recibir este tipo de e-mails, debemos aprender a actuar ante ellos.
Realiza una buena configuración de los equipos e e-mails corporativos
A la hora de configurar las cuentas de e-mail y de las aplicaciones utilizadas en el entorno de trabajo, analicemos qué nivel de privilegios conceder a cada uno de los empleados. Lo ideal es que le concedamos el nivel de privilegios más bajo para la labor que va a realizar. De esta manera, si llegan a ser víctimas de un ataque de phishing, las consecuencias serán mucho más reducidas.
En este sentido, es recomendable que los empleados no naveguen por internet o revisen su correo electrónico desde una cuenta con privilegios de Administrador, ya que las cuentas de administrador permiten realizar cambios en todos los usuarios del equipo. Los Administradores pueden instalar software y hardware, modificar ajustes de seguridad o acceder a todos los ficheros del ordenador. Por ello, es evidente que si un atacante accede a una cuenta de Administrador, podrá hacer mucho más daño que si accede a una cuenta de usuario estándar.
Otra práctica muy recomendable a la hora de configurar cuentas importantes, como es la cuenta de correo electrónico, es habilitar la autenticación en dos pasos. De esta forma, aunque un atacante averigüe la contraseña de tu e-mail, seguirá sin poder tener acceso a él.
Analiza la operativa de tu empresa y busca puntos conflictivos
Analiza de qué forma un ciberdelincuente podría tratar de atacar tu empresa, y asegúrate de que los empleados conocen perfectamente cuál es la operativa habitual de tu empresa en relación con otras empresas. De esa forma, tendrán más capacidades para detectar comunicaciones sospechosas.
Algunas de las estrategias más habituales de phishing son:
► Enviarte una factura por un servicio que no has contratado. Al abrir el fichero adjunto, se instala malware de forma automática en tu equipo sin que lo sepas.
► Engañarte para que hagas una transferencia de dinero o información, mediante correos electrónicos que fingen ser de una persona o empresa auténtica y de confianza.
Ahora piensa en el día a día de tu empresa y su forma de trabajar, y analiza de qué forma puedes hacer que este tipo de estrategias no tengan éxito. Pregúntate:
► ¿Los empleados saben cómo actuar cuando reciben peticiones fuera de lo normal en su e-mail? ¿saben a quién acudir?
► ¿Conocen las relaciones habituales de tu empresa con otras empresas? Los estafadores, a menudo, suelen suplantar la identidad de grandes empresas (por ejemplo bancos), con la esperanza de que alguno de los destinatarios de ese e-mail tenga relación con dicha empresa. Si recibes un e-mail de una empresa con la que no tienes ningún tipo de relación, sospecha.
► Analiza cómo puedes alentar a los empleados a cuestionar e-mails sospechosos o inusuales. El ser capaces de preguntar si un e-mail es real o es una estafa puede ser la gran diferencia entre permanecer seguros o un costoso traspié.
Como bonus, considera también cómo se pueden percibir los e-mails y comunicaciones que tú envías a tus clientes y proveedores. ¿Envías e-mails pidiendo dinero o contraseñas? ¿es posible que tus e-mails se confundan con phishing? ¿o que abran la posibilidad de que tu cliente caiga en una estafa de phishing que suplanta tu identidad?
Una estrategia muy utilizada por algunas empresas para evitar que sus clientes y proveedores sean víctimas de phishing es hacerles llegar mensajes del tipo: «Nunca te pediremos tus contraseñas» o «nuestros datos bancarios siempre serán los mismos, desconfía de e-mails indicando cambios».
Educa a los empleados para detectar las señales del phishing
No podemos esperar que todos los empleados sean capaces de identificar y eliminar absolutamente todos los e-mails de phishing. No solo es imposible, sino que tendría un efecto importante sobre su productividad. No obstante, muchos e-mails de phishing siguen una estructura muy clara que permite identificarlos de un vistazo:
► Muchas estafas de phishing provienen de países extranjeros, por lo que la gramática o la puntuación puede ser bastante pobre. También puedes fijarte en el diseño, logotipos e imágenes utilizados en el e-mail: ¿están en concordancia con la empresa que dice ser o están poco cuidados?
► ¿El remitente se refiere a ti por tu nombre? ¿o utiliza fórmulas genéricas del tipo «Estimado cliente», «amigo» o «compañero»? Esto podría ser una señal de que el remitente no te conoce y se trata de una estafa de phishing.
► ¿El e-mail contiene algún tipo de amenaza velada que te urge a actuar cuanto antes? Sospecha de palabras como «responde dentro de las próximas 24 horas» o «has sido víctima de un delito, haz click aquí inmediatamente».
► Sospecha de e-mails que parecen provenir de tu propia empresa y que te solicitan realizar un pago a una determinada cuenta bancaria. Revisa el nombre del remitente del correo: ¿suena legítimo? ¿o está tratando de parecerse a alguien que conoces?
► Si suena demasiado bien para ser cierto, probablemente lo es. Es poco probable que alguien quiera darte dinero o darte acceso a páginas web exclusivas, así que desconfía de e-mails en los que se te promete una recompensa.
En este sentido, existen servicios de filtrado de correo electrónico que detectan los e-mails de phishing y los envían automáticamente a las carpetas de Spam o Correo no deseado.
Las reglas que determinan los criterios para filtrar los correos, a menudo deben ser ajustadas a las necesidades de la empresa. Pero ten cuidado: si las reglas son muy laxas seguirán llegando muchos e-mails de phishing, con la consecuente pérdida de tiempo invertido en analizar cada correo. Sin embargo, si las reglas son demasiado estrictas, algunos e-mails reales podrían llegar a marcarse como spam. Posiblemente deberás cambiar y ajustar las reglas para asegurarte un equilibrio óptimo. Si no dispones de los conocimientos para realizar estos ajustes, consulta a tu proveedor de correo electrónico o a tu proveedor de mantenimiento informático.
Alienta a los empleados a reportar los ataques
Asegúrate de que los empleados se sienten seguros a la hora de pedir ayuda si creen haber sido víctimas de phishing. Es importante que, si creemos haber caído en una estafa de este tipo, llevemos a cabo ciertos pasos para detectar malware en el equipo y cambiemos contraseñas lo antes posible.
No castigues a los empleados por haber caído. Solo lograrás que, la próxima vez, opten por callarse, agravando el problema. O que empiecen a dedicar muchísimo tiempo a analizar cada uno de los e-mails que reciben. Ninguna de estas dos opciones son deseables para tu empresa.
Si crees que puedes haber sido víctima de fraude online o de extorsión, lo mejor que puedes hacer es dirigirte al Grupo de Delitos Telemáticos de la Guardia Civil.
Analiza tu huella digital
A la hora de confeccionar los ciberataques, los estafadores utilizan información pública sobre tu empresa y sus empleados para que sus mensajes de phishing sean más convincentes. A menudo, extraen esta información de tu página web o redes sociales (lo que se conoce como «huella digital»).
► Es necesario entender la importancia de la información que compartes en tu página web o redes sociales. Analiza qué información es realmente relevante para los visitantes de tu web y qué detalles son innecesarios.
► Analiza también la información que tus socios, clientes o proveedores comparten sobre tu empresa online.
► Ayuda a tus empleados a entender cómo el compartir su información personal puedes afectarles a ellos y a la empresa. No se trata de pedir que desaparezcan de Internet, sino de apoyarles a la hora de gestionar su propia huella digital y tratar de moldear sus perfiles de forma que encajen con lo que ellos necesitan y con lo que la empresa necesita.
