El phishing es un tipo de ciberataque que busca engañar a un usuario para que realice acciones que nunca haría. Habitualmente, este tipo de ataques utilizan mensajes persuasivos o manipuladores para lograr su objetivo como inducir en su victima miedo, urgencia, autoridad, deseo o codicia.
Existen cientos de ejemplos reales que han aparecido a lo largo de los años abusando de este tipo de mensajes como, por ejemplo:
- Campaña de phishing suplantando a la agencia tributaria: En el año 2020 se detectó una campaña que notificaba a las victimas de una ley referente a la COVID que debía ser firmada en un plazo de 7 días para evitar la suspensión de su negocio. Para ello, debían introducir sus credenciales en una página falsa de la agencia tributaría, las cuales, eran robadas para descargar el documento. Esta campaña es un claro ejemplo de como inducen miedo y urgencia.
- Campaña de phishing bancario: El 18 de Enero de 2022, INCIBE alerta de una campaña activa de phishing suplantando a CaixaBank. En dicha campaña, se está advirtiendo a las victimas de que su tarjeta de crédito o débito va a ser cancelada el 19 de Enero, es decir, al día siguiente. El mismo mensaje de correo indica a las víctimas como evitar esto accediendo a una web que suplanta a dicha entidad bancaria donde van a ser robadas las credenciales de acceso al banco. En este caso, se puede observar de nuevo el uso del miedo y la urgencia.
En los ejemplos anteriores se puede observar que el principal objetivo de las campañas de phishing es la obtención de contraseñas. No obstante, entre los objetivos de las campañas de phishing también es muy común encontrar archivos adjuntos o enlaces que pueden suponer el compromiso del equipo informático de la víctima.
Frecuentemente, estos archivos son documentos office con macros embebidas que aprovechan el amplio uso de la suite de Microsoft en las organizaciones para tomar el control de los equipos. La ejecución de uno de estos documentos puede desencadenar en cuestión de minutos, horas o días un ataque de ransomware en toda la organización.
Sin embargo, no nos podemos confiar porque el malware no solo llega en forma de documentos Office sino que puede tomar una gran cantidad de extensiones.
Mi organización tiene antivirus, ¿Me debería preocupar?
En la actualidad, muchos de los antivirus que hay en el mercado detectan los archivos maliciosos mediante firma. Esto significa que solo son capaces de detectar los archivos maliciosos conocidos. Si tu organización posee antivirus es una gran noticia porque te va a ayudar a eliminar un volumen muy elevado de malware pero la realidad es que un pequeño porcentaje se les puede escapar y provocar un desastre en tu organización.
De acuerdo, soy consciente del gran peligro pero ¿Qué puedo hacer yo?
En lo que respecta a ciberseguridad, el Centro Criptológico Nacional en su decálogo de ciberseguridad recomienda «Trabajar como si se estuviese comprometido. Suponer que los sistemas están ya comprometidos o lo estarán pronto y proteger los activos fundamentales.»
Por ese motivo, es recomendable conocer el estado de tus puestos de usuario y fortificarlos, de tal manera, que si toman el control de un equipo no puedan moverse dentro de la organización.
Además, formar a los empleados resulta imprescindible para que sean capaces de detectar phishing y evitar que descarguen y ejecuten malware dentro de la organización.
Tengo claro lo que tengo que hacer, ¿Me podéis ayudar?
Desde Alfa5 tenemos varios servicios que pueden ayudarte a fortificar tu organización:
- Auditoría de endpoint o de puesto de usuario: Analizaremos el estado actual de los puestos de trabajo de tu organización y te proporcionaremos recomendaciones de seguridad para ponerles a los atacantes el trabajo realmente difícil.
- Concienciación e ingenieria social: Mediante la formación a los empleados y ejercicios simulados de phishing, los empleados aprenderán a identificar y prevenir este tipo de amenazas.
¿No sabes como encajar las cosas en tu organización?¿Necesitas hablar con un especialista? No dudes en contactar con nosotros.