Nuestros socios publicitarios pueden establecer cookies publicitarias a través de nuestro sitio web y ayudarnos a ofrecer contenido de marketing personalizado. Si no permites estas cookies, experimentarás publicidad menos relevante.
Qué es el phishing y cómo afecta a tu empresa
El phishing es un tipo de estafa online muy común en nuestro país que cada vez afecta a más empresas.
Según un reciente informe elaborado por Ironhack, un reputado centro de formación digital, España fue el tercer país de todo el mundo con más casos de fraude online en 2020, solo por detrás de los Estados Unidos y Alemania. De hecho, en términos de ciberataques, el nivel más alto de toda Europa fue el de España.
Otro informe, esta vez de Microsoft, descubrió que, en opinión de los españoles, el tipo de ciberataque más común es el phishing, así que en este artículo te explicaremos en qué consiste y algunas precauciones que puedes tomar para evitar que afecte a tu empresa.
¿Qué es el phishing?
El phishing es un tipo de ciberataque en el cual a través de un cebo creíble se intenta obtener información de la empresa, como pueden ser contraseñas, números de cuenta y números de seguridad, etc. De ahí el nombre, que es una variación de la palabra “pescar” en lengua inglesa (fishing), ya que a través de estos cebos intentan pescar toda la información que pueden.
Normalmente, los phishers solicitarán datos confidenciales para supuestas operaciones que requieren nuestra aprobación, como por ejemplo, confirmar una transferencia bancaria o la compra de un producto. Por eso, para que el phishing sea creíble los hackers habitualmente intentan suplantar la identidad de compañías, entidades bancarias, instituciones, etc., en las que confiamos, ya sea copiando el logo y nombre de cuenta de correo o simplemente dando información que podría ser veraz y que nos hace confiarnos.
Las empresas son especialmente vulnerables, sobre todo si se trata de empresas con un cierto número de empleados, ya que en estas puede haber un control menos directo sobre ciertos procesos y gestiones, existen encargados que deben aprobar operaciones de otros trabajadores, etc., por lo cual es más fácil que los hackers se cuelen por estas grietas y consigan su objetivo. De hecho, los casos de phishing se han multiplicado durante la pandemia debido al boom del teletrabajo, que ha generalizado este tipo de situaciones.
Gracias a las redes sociales, los hackers tienen mucha más información sobre los trabajadores de las empresas, los roles que ocupan, las personas con las que trabajan, las que tienen a su cargo, etc., por ello, los ataques de phishing a empresas son cada vez más profesionales, porque el nivel de detalle los hace totalmente creíbles.
Tipos de phishing
Existen diferentes tipos de phishing en función de la técnica específica que utilizan los hackers para hacerse con tus datos, las principales categorías en las que se dividen este tipo de ciberataques son:
● Phishing de engaño: este tipo de phishing define a los ataques que consisten en que el phisher se hace pasar por empresas, instituciones o personas reales. Es la forma más común de phishing y normalmente no tienen un objetivo concreto, simplemente se lanza el cebo a nivel general y esperan que el mayor número personas caigan en sus redes.
● Phishing personalizado o spear-phishing: este tipo de phishing, a diferencia del anterior, busca objetivos concretos y personalizan mucho sus ataques. En el caso del phishing personalizado contra empresas, normalmente los hackers buscan a través de Linkedin la información que requiere su estrategia para hacer que su cebo sea más creíble.
● Whaling: su nombre hace referencia a la pesca de ballenas ya que este tipo de phishing consiste en engañar a ejecutivos, directivos, CEOs, etc. para conseguir datos de gran valor que les reporten mayores beneficios. Este tipo de ataques requieren de una gran personalización que lleven al objetivo a confiar plenamente en el phisher.
● Fraude de CEO: en este caso los phishers se hacen pasar por un CEO o otro tipo de alto cargo de una empresa para conseguir datos de sus empresas objetivos. A menudo los fraudes de CEO son una parte de los ataques de whaling, ya que si consiguen crear un perfil creíble de CEO o alto directivo, es más fácil que otros altos ejecutivos confíen en el phisher.
● Pharming: se trata de un ataque de phishing en el que se intenta explotar la vulnerabilidad de los sistemas de nombres de dominio, o DNS por sus siglas en inglés, llevando al usuario a una página falsa replicada.
● Phishing por Dropbox y por Google Docs: los phishers crean versiones falsas de las páginas de login de estos servicios de información en la nube, una vez el usuario pone sus datos, el hacker los introduce en la página real y descarga toda la información que tenía allí.
● Phishing de clonación: se trata de un ataque de phishing por mail en el que se clona la cuenta de correo de la víctima y se envían enlaces maliciosos a todos sus contactos desde los cuales les robarán sus datos.
● Manipulación de enlaces: se trata del envío de URLs falsas que parecen reales. Al acceder, los phishers obtienen todos los datos del usuario. Las URLs falsas se crean sustituyendo un carácter por otro parecido.
● Scripting entre sitios: se trata de una técnica de phishing muy sofisticada mediante la cual replican toda la apariencia de un sitio web para crear una página exactamente igual pero que no es sino una trampa para los usuarios que acceden a ella pensando que se trata de la página real.
Aunque la mayoría de casos de phishing se dan a través del correo electrónico, no es la única forma que tienen los phishers para conseguir robar nuestros datos, cada vez más se han extendido campañas de robo de datos a través de SMS o Whatsapp.
¿Cómo puedo evitar el phishing en mi empresa?
Dependiendo el tipo de phishing con el que te ataquen, puede ser muy difícil de detectar, entre las recomendaciones de los expertos normalmente destacan las siguientes:
● No abras enlaces que no conoces.
● Mejora tu comunicación interna y pregunta a tus compañeros cuando recibes un mail que no esperes.
● No abras mails no solicitados de cuentas de correo con las que no interactúas.
● Si te llega un enlace de una cuenta que consideras sospechosa, no cliques, escribe la dirección legítima en tu navegador y comprueba que sea la misma URL.
● Si se trata de un sitio web busca el certificado digital, también puedes comprobar si se trata de una web HTTPS, la S indica que es un dominio seguro.
● Forma a todos los miembros de tu empresa, estén en la posición que estén, pero especialmente a los directivos y a los equipos de finanzas, ya que poseen información más valiosa.
● Implementa una política de procedimientos que todo el mundo tenga que seguir.
● Revisa siempre tus procesos de finanzas.
● Implementa sistemas de ciberseguridad especializados para empresas.
● Utiliza sistemas de inicio de sesión seguro.
● Utiliza firmas digitales en tus correos.
En última instancia, la principal defensa frente al phishing es ser extremadamente cauteloso y precavido.
Comprando en Amazon Business podrás disfrutar de un inicio de sesión seguro así como de otras herramientas que te garantizarán la mayor seguridad en tus compras de empresa. Además de proveedores verificados por Amazon para que siempre cuentes con todas las garantías. Descubre nuestras ventajas.
