Ejemplos de phishing: detectando los casos más comunes en el espacio de trabajo

Spear phishing y whaling

El spear phishing y el whaling son versiones más sofisticadas y “dirigidas” del phishing; consisten en engañar a un empleado o alto directivo para que otorgue información útil para estafar a la empresa. Por lo general, el atacante ya tiene información sobre la víctima y la utiliza para revelar información valiosa como datos de pago o acceso a cuentas de la red interna.

La estafa más común involucra a un estafador que se hace pasar por un ejecutivo de la compañía que solicita a un empleado transferir dinero a una cuenta que, obviamente, pertenece al estafador. Y aunque los criminales apuntan a empresas de todos los tamaños, los ataques contra las PyMEs son cada vez más populares.

Es importante que tus colaboradores estén atentos a los emails de otros “colaboradores” o “ejecutivos” que incluyen mensajes tipo:

• ¿Podrías iniciar sesión en tu cuenta para compartir archivos y revisar la siguiente propuesta?
• Hola, noté un problema con tu cuenta. Sigue las instrucciones adjuntas para solucionarlo lo antes posible.
• Detecté actividad no autorizada en tu cuenta. ¿Podrías entrar a este link para iniciar sesión y solucionar el problema?

Smishing y vishing

El smishing consiste en recibir mensajes de texto engañosos para robar datos sensibles. Entre las estafas más comunes en México están los SMS que aparentan venir de bancos conocidos como BBVA o Santander, pero que en realidad envían tráfico a páginas fraudulentas.

Los mensajes se envían de forma masiva para ver quién “muerde el anzuelo” y lucen como si fueran de un banco legítimo, por ejemplo: “BBVA anuncia: Tu cuenta fue suspendida temporalmente por motivos de seguridad, sigue el enlace para verificar tu identidad.” El objetivo es que entres a una página web similar a la oficial, para que ingreses tu usuario y contraseña y que puedas acceder a ellos después.

Con el vishing sucede lo mismo, pero en vez de usar emails o mensajes de texto, ocupan a operadores telefónicos que supuestamente llaman desde tu banco o proveedor de servicios y cuyo objetivo también es hacerse de tus datos.

Especialistas e instituciones como la CONDUSEF sugieren considerar lo siguiente para evitar ser víctima de vishing o smishing, ya sea de forma personal o en el trabajo:

• No responder a ningún mensaje sospechoso de email o texto, ni a remitentes desconocidos.
• Nunca ingresar contraseñas en un sitio web al que se llegó por un correo electrónico, chat o mensaje de texto.
• Ante cualquier duda, evitar proporcionar información financiera o empresarial, y llamar directamente a la institución bancaria o al proveedor, buscando sus medios de contacto oficiales desde internet.
• Tomar en cuenta que ni las entidades financieras ni los operadores de tarjetas solicitan datos personales a sus clientes o verificación de sus cuentas, mediante correo electrónico, mensaje de texto o vía telefónica, a menos que el usuario haya sido quien contactó primero a la institución financiera.

Si eres responsable de la seguridad en tu empresa y quieres evitar ataques, primero debes capacitar a todos los usuarios para que reconozcan, eviten e informen cualquier correo electrónico sospechoso.

En segundo lugar, debes implementar, mantener y actualizar soluciones de seguridad para responder a las amenazas de phishing que, por cierto, están en constante evolución.

Adelántate a los atacantes y deja de pensar en los ejemplos anteriores como casos aislados. Eleva tus soluciones de seguridad más allá de los antivirus y del software antispam; piensa que un ataque puede llegar indistintamente por correo electrónico, navegación web o archivos compartidos.

Pedir apoyo para diseñar una imagen propia en español. Por favor, avisarme si quieren que yo la trabaje, sin problema puedo hacerla.