Algo Phishy en la seguridad cibernética Las estafas de phishing se han vuelto más frecuentes que nunca y muchas empresas continúan siendo víctimas de ellas. Nos pasa a todos y es un problema grave; uno que compromete cualquier negocio que sea víctima de él. La empresa puede perder datos, ser víctima de propiedad intelectual o robo de identidad, o incluso difamación. Las estafas de phishing interrumpen las operaciones y pueden provocar pérdidas de dinero y de clientes. Su impacto en la reputación de las empresas puede ser devastador y difícil de superar. Solo entre 2013 y 2015, Facebook y Google fueron estafados por 100 millones de dólares a través de una prolongada campaña de phishing. Como ambas empresas utilizaron el proveedor con sede en Taiwán, Quanta, el phisher pudo matar dos pájaros de un tiro con una sola estafa. El phisher fabricó facturas que envió a los gigantes de los medios bajo la apariencia de Quanta. Sin dudar que es su proveedor, Facebook y Google pagaron por ellos. Facebook y Google descubrieron la campaña de phishing y llevaron el caso a los tribunales. Las autoridades capturaron al atacante en Lituania y las empresas recuperaron 49,7 millones de dólares de los 100 millones robados. Con el nivel de reputación, influencia y patrimonio neto de Facebook y Google, recuperarse de este golpe financiero puede resultar más fácil. No se puede decir lo mismo de las empresas relativamente pequeñas o medianas (PYMES). Si es propietario de una PYME o una startup y desea consejos de seguridad para fortalecer su defensa contra las estafas de phishing, ¡estamos aquí para ayudarlo! Aquí hay 10 medidas de seguridad para proteger su empresa de estafas de phishing, así como también cómo identificarlas para evitar desastres antes de que tengan la oportunidad. Cómo protegerse de las campañas de phishing 1. Conozca al enemigo Lo primero que debe hacer es reconocer cuando aparece un intento de phishing. Los ciberdelincuentes se hacen pasar por entidades legítimas. Engañan a personas desprevenidas para que les proporcionen información que de otro modo sería confidencial. Estos datos pueden incluir detalles de cuentas bancarias, tarjetas de crédito y contraseñas. Su objetivo al obtener estos datos es simple: acceder a sus cuentas y robarles datos valiosos. Es una forma de espionaje corporativo que a menudo resulta en la reputación de una empresa comprometida. Los correos electrónicos son los canales por los que se ejecutan las campañas de phishing. Las cuentas de correo electrónico fraudulentas pueden dirigir a sitios web falsos que solo recopilan datos corporativos o incluso bancarios. Sin embargo, si tiene el proveedor de ciberseguridad adecuado, es posible que cualquier clic accidental no signifique un desastre total. Hay cuatro tipos de ataques de phishing: Clon Phishing En este tipo de campaña de phishing, los piratas informáticos crean copias de correos electrónicos reales que parecen casi idénticos, de ahí el nombre. Los piratas informáticos se hacen pasar por instituciones y organizaciones reconocidas para obtener información confidencial de las empresas y sus empleados. Spear Phishing El phishing se dirige a personas o empresas específicas. Estos estafadores hacen su debida diligencia para saber todo sobre la persona a la que quieren estafar. Harán todo lo posible para recopilar la información que los haga parecer creíbles ante su objetivo. Soporte técnico Phishing Esta estafa de phishing convence a la víctima de que sus unidades informáticas han sido infectadas por malware. Pretendiendo solucionar el problema, el hacker propondrá instalar un software que le dé acceso remoto. Pero, por supuesto, este software es el malware que recopilará sus valiosos datos. Whale Phishing Como sugiere el nombre, este tipo de estafa de phishing se dirige a profesionales de alto perfil y a aquellos con posiciones destacadas. Aprender sobre estas técnicas de phishing te hace consciente de las posibles medidas lingüísticas que tomarán los piratas informáticos para hacerte creer en ellas. 2. Utilice software de seguridad La instalación de software de seguridad debe ser una de sus prioridades al configurar las cuentas en línea de sus empleados. Este software no tiene por qué ser sofisticado. Estos pueden incluir la actualización automática de programas antivirus, firewalls y filtros de spam. Los filtros web también son una defensa potencial contra sitios web maliciosos. También es importante actualizar su software periódicamente. Cuando garantiza parches y actualizaciones de seguridad, mantendrá a raya las campañas de phishing. Como propietario de una empresa, debe obtener las actualizaciones necesarias para su software de seguridad, sistema operativo, navegadores y otras aplicaciones pertinentes. Una forma de garantizar actualizaciones confiables es asociarse con un proveedor de servicios de seguridad de TI administrados (MSSP). 3. Asóciese con un MSSP Los dueños de negocios deben estar atentos. Si no es así, al menos tienen que contar con la ayuda de herramientas y expertos en ciberseguridad que puedan proteger sus objetos de valor digitales. Un MSSP permite a las empresas centrarse en su crecimiento y operaciones generales, mientras se ocupan de la seguridad cibernética y de la gestión de su TI. Y si alguna vez surge una estafa de phishing, lo sabrán y podrán actuar a la defensiva antes de que tenga la posibilidad de causar un daño real. Por supuesto, esto también depende del conocimiento y la capacidad del MSSP. Una forma de saberlo con seguridad es si están certificados en algún estándar de cumplimiento de datos, como las regulaciones FINRA, HIPAA o SOC. Esto garantiza que el proveedor de TI haya sido auditado por un tercero y que tenga los procesos implementados para hacer frente a las amenazas cibernéticas. 4. Fortalecer las cuentas mediante la autenticación multifactor Además de implementar estrictos protocolos de contraseña, los propietarios de empresas también deben utilizar la autenticación multifactor en todas las cuentas de su empresa. Esto desconcierta a los piratas informáticos y potencialmente les impide acceder al segundo paso para abrir estas cuentas. 5. Haga una copia de seguridad de sus datos Además de almacenar sus archivos y datos en su computadora, puede colocarlos en otro almacenamiento seguro, como discos duros externos. El único inconveniente es que es susceptible de sufrir daños físicos y, lo que es peor, incluso puede ser robado. También puedes guardar tus datos en la nube. Solo asegúrese de probar periódicamente sus copias de seguridad de datos para no crear accidentalmente un posible desastre diferente en el peor de los casos como el de este video. ¿Cómo puedo notar la diferencia? Puede resultar agotador estar constantemente en guardia cuando revisas correos electrónicos potencialmente peligrosos. Pero hay varias formas de señalarlos inmediatamente, a veces incluso antes de abrir el correo electrónico. ¡Aquí hay cinco formas de ayudar a identificar correos electrónicos de phishing! 1. El correo electrónico del remitente y la línea de asunto Una de las formas más sencillas de identificar un correo electrónico de phishing incluso antes de abrirlo es mirando la línea de asunto y la dirección de correo electrónico del remitente. ¿La línea de asunto tiene mala gramática o errores ortográficos? ¿La dirección de correo electrónico es un montón de números y letras con un dominio de correo electrónico ligeramente modificado? Esté especialmente atento a cuando un dominio de correo electrónico reconocible tenga una L minúscula o una i mayúscula, ya que pueden sustituirse para crear un correo electrónico falso. 2. Mala gramática o errores ortográficos Como se mencionó anteriormente, un correo electrónico con mala gramática o errores ortográficos es la forma antigua de identificar correos electrónicos sospechosos. Esto se debe a que muchos ciberdelincuentes simplemente se apresuran a desarrollar estafas y no tienen tiempo para utilizar revisiones gramaticales. Entonces, ¿se dirigen a usted con su nombre escrito correctamente? ¿La puntuación está por todos lados? Estos son los puntos más básicos a tener en cuenta. 3. Solicitar información confidencial Una vez que haya utilizado los puntos anteriores para observar un correo electrónico antes de abrirlo, ahora es el momento de comprobar qué hay dentro. Si el remitente solicita algún inicio de sesión de cuenta personal o confidencial o información del cliente, eso debería ser una señal de alerta inmediata. Y cuando el correo electrónico provenga de alguien que conoce, de su equipo o de un correo electrónico que estaba esperando, asegúrese de contar con medidas de verificación implementadas. Llame a la persona o envíele un mensaje en cualquier aplicación de colaboración (o ambas, cuando corresponda) para verificar que fue ella quien envió el correo electrónico antes de enviar cualquier dato importante. En algunos casos, ni siquiera es necesario compartir la información de inicio de sesión por correo electrónico o mensajería instantánea. Las plataformas en la nube como Workplace le permiten compartir de forma segura archivos o inicios de sesión de aplicaciones, por lo que no es necesario copiar y pegar constantemente dichos elementos entre los miembros de su equipo. 4. Mimetismo de correo electrónico Otra forma sencilla, pero a veces efectiva, en que los estafadores intentan engañar a las personas es mediante el mimetismo de correo electrónico, donde hacen todo lo posible para recrear la apariencia de una empresa en sus correos electrónicos y luego proceden a solicitar información. Recientemente, ha habido una mayor abundancia de informes de personas que reciben correos electrónicos de servicios que no utilizan o simplemente no reciben actualizaciones por correo electrónico con regularidad, un ejemplo común son las direcciones de correo electrónico falsas de McAfee. Muchas personas utilizan sus servicios y estos objetivos potenciales pueden recibir correos electrónicos diciendo que sus cuentas fueron deshabilitadas o que sus pagos fueron rechazados, y luego se les ofrece un enlace para iniciar sesión o enviar información de pago. Por otro lado, las personas que no utilizan sus servicios pueden recibir un correo electrónico informándoles que se les cobró por el servicio, o posiblemente serán responsables si no completan algún tipo de tarea. Esto puede crear confusión o pánico en algunas personas y apresurarse a comunicarse con el «servicio» (también conocido como los piratas informáticos) utilizando la información de contacto incluida en el correo electrónico. A partir de ahí, el hacker que los contacta puede proceder a guiarlos a proporcionar información de pago o de inicio de sesión del dispositivo en su proceso para «verificar si todo está bien». Asegúrese de verificar siempre en línea cuál es la información de contacto verificada de una empresa o servicio, porque ocurren errores y a las personas se les cobra mal por los servicios todo el tiempo. Esto es en lo que se basan los piratas informáticos para hacer que la gente dude y cause pánico. 5. Nunca haga clic inmediatamente en enlaces Por último, pero no menos importante, nunca haga clic inmediatamente en enlaces en correos electrónicos potencialmente peligrosos. Si bien hay muchas integraciones dañinas de verificación de enlaces en servicios como Barracuda, siempre puedes hacer un poco de diligencia debida de antemano. Pase siempre el cursor sobre los enlaces antes de hacer clic en ellos; esto le mostrará adónde conducirá un hipervínculo. Si el correo electrónico, por ejemplo, tiene un enlace «youtube.com», pero cuando pasa el cursor sobre el enlace dirige a un sitio web diferente, marque el correo electrónico inmediatamente. Si su aplicación de correo electrónico no tiene esta función, siempre puede hacer clic derecho y luego copiar el hipervínculo del texto y pegarlo en un editor de texto para verificarlo (nunca lo pegue en la barra de URL de un motor de búsqueda, solo para estar seguro). ). Y finalmente, si ha probado todas estas comprobaciones y aún no está 100% seguro, siempre puede reenviar el correo electrónico a su departamento de TI o proveedor para que lo verifique utilizando sus herramientas de seguridad cibernética. ¡Muchos, si no todos, MSSP deberían permitir a sus clientes hacer esto regularmente por su propia seguridad! No se deje engañar La conciencia y una estrategia eficiente de prevención de pérdida de datos (DLP) aseguran las ganancias y la reputación de su empresa. En un mundo regido por clics y desinformación, los dueños de negocios necesitan perfeccionar los datos que se les presentan. La brecha entre leer y enviar una solicitud es crucial para mantener a los malos actores en línea fuera del servidor de su empresa. Si su empresa está interesada en fortalecer su seguridad cibernética, tal vez quiera que su TI actual sea auditada o posiblemente haya sido víctima recientemente de un ataque de phishing, ¡comuníquese con Nerds Support hoy! Le mostraremos cómo podemos ayudar a fortalecer y educar a su empresa para asegurarnos de que la próxima vez que los piratas informáticos lancen su cebo de phishing, caiga en aguas muertas.