Table of Contents:
Última actualización: diciembre 16, 2022
La era digital en que vivimos es testigo de incontables innovaciones tecnológicas diseñadas en pro del bienestar, la movilidad, la conexión y la calidad de la vida humana en general. Pero esta rápida expansión hacia el mundo digital, acelerada por la pandemia de Covid-19, también trae consigo una serie de desafíos. La ciberdelincuencia es sin duda uno de ellos, afectando a un sinnúmero de empresas de todos los sectores.
El phishing es uno de los métodos de ciberataque más comunes. Según Statista, en el primer trimestre de 2022, el 14,6% de los ataques de phishing a nivel mundial se dirigió a la industria del comercio electrónico y minorista. Además, en una encuesta realizada entre profesionales de la seguridad informática de todo el mundo en 2021, el 64% afirmó que era muy importante, a la hora de permitir el trabajo a distancia, proteger a los usuarios contra las diversas formas de ciberataque, necesidad que se hizo aún más patente tras la pandemia.
El phishing puede tener graves repercusiones para las empresas y los consumidores, siendo el daño a la reputación, la pérdida financiera y la pérdida de propiedad intelectual solo algunas de ellas. La buena noticia es que todo esto se puede evitar al contar con la información y el sistema de seguridad adecuados.
En este artículo te explicamos qué es el phishing y cómo proteger tu marca de un ataque. Entre otras cosas, aprenderás a:
– Detectar las señales de un ataque de phishing
– Reconocer los distintos tipos de phishing que pueden afectar tu marca
– Tomar las medidas de protección necesarias
El phishing es un ciberdelito que busca engañar a un individuo y obtener información sensible mediante técnicas de ingeniería social. Es decir, en vez de intentar hackear un sistema, el atacante se aprovecha de la vulnerabilidad y el error humano para conseguir que el individuo ofrezca datos personales de forma involuntaria. Estos datos pueden ser contraseñas, información bancaria o personal, entre otros.
Por lo general, los ataques de phishing se realizan a través del correo electrónico, llamadas telefónicas o mensajes de texto. De esta forma, el atacante se pone en contacto con la víctima e intenta ganar su confianza simulando ser una persona o una institución legítima.
El término phishing viene del inglés “fishing” (pescar) y surge justamente como una analogía con este deporte. Los correos electrónicos son vistos como el “cebo” que los estafadores lanzan al “mar” del Internet para “pescar” contraseñas y datos financieros. Por otro lado, el uso de las letras “ph” en lugar de la “f” original, parece tener su origen en el phreaking, o pirateo telefónico.
Generalmente, los ataques de phishing llegan por correo electrónico, aunque también tienen lugar mediante llamadas telefónicas, mensajes de texto o redes sociales. El estafador busca dar una falsa sensación de seguridad usando los logos y la imagen de una empresa o institución conocida (por ejemplo, un banco) o de algún servicio al que la persona esté suscrita. En ocasiones, también se hace pasar por algún conocido, como un jefe o un amigo.
Para conseguir que comparta su información personal, el atacante a menudo intenta persuadir a la víctima de que necesita una información de forma urgente. De este modo, la persona es llevada a abrir un link o descargar un archivo que la redirige a una página fraudulenta o instala un malware en su equipo. Dependiendo del objetivo que persigan, estos ataques pueden sabotear un sistema o robar propiedad intelectual, datos confidenciales, dinero, entre otros.
El phishing puede afectar a todo tipo de empresas. En ocasiones, el estafador solo busca conseguir un par de contraseñas y ganar dinero fácil, por lo que realiza un ataque masivo. Pero en otros casos, el ataque persigue un objetivo específico y va dirigido directamente a una empresa. En estos casos, el atacante puede incluso valerse de la información pública de la empresa y los empleados para personalizar sus mensajes y hacer que suenen más realistas.
De cualquier modo, los ataques de phishing pueden causar graves daños a una marca, como pueden ser daños a la reputación, pérdidas financieras, pérdida de valor de la empresa, sanciones, interrupción del negocio, entre otros. Por ello es importante saber reconocer los distintos tipos de phishing que pueden afectar a una empresa.
Estos son algunos de los principales tipos de phishing que pueden amenazar tu marca:
Se trata de correos maliciosos dirigidos a una persona o una compañía específica. En estos casos, el atacante conoce el nombre, cargo, y otros detalles personales de la víctima y los emplea para crear un mensaje personalizado y altamente creíble. El delincuente podría hacerse pasar, por ejemplo, por alguien que trabaja en otro departamento de la empresa o algún socio o cliente.
Es un tipo de ataque todavía más personalizado ya que va dirigido a altos ejecutivos. Su nombre viene del inglés “whale” (ballena) y hace referencia a este lucrativo blanco que tiene acceso a los fondos y datos sensibles de la empresa.
En estos casos, el atacante envía un correo a algún empleado de la compañía a nombre del Director General y se vale de la autoridad que ostenta este cargo para conseguir que el empleado siga sus instrucciones, como por ejemplo, realizar un pago a una cuenta bancaria diferente.
En el caso del smishing, el fraude ocurre por mensaje de texto. El atacante se hace pasar por alguien conocido, como un compañero de trabajo o jefe, aprovechando la anonimidad que estos mensajes ofrecen.
El vishing, en cambio, tiene lugar por llamada telefónica o mensajes de voz. En estos casos, el atacante se hace pasar por una empresa asociada, un vendedor o un proveedor de la compañía. Su objetivo es conseguir que la víctima realice un pago o divulgue algún tipo de información sensible.
En este tipo de ataque de phishing, el delincuente crea un sitio web falso que a primera vista pareciera ser de una marca o persona legítima. Su objetivo es engañar al usuario para obtener sus datos o venderle productos falsos. Si se mira más de cerca, el nombre del dominio contiene errores (por ejemplo, en lugar de una “W” hay dos “V”).
Este tipo de ataque puede ser muy peligroso para una marca, ya que tanto clientes como empleados podrían caer víctima del mismo, por lo que es muy importante contar con la protección de dominio adecuada.
Es un ataque en dos etapas en el que el delincuente envía un código malicioso que infecta el ordenador de un usuario o el servidor de una empresa. Este código descarga un virus que desvía el tráfico de un determinado sitio web a uno falso con el objetivo de robar los datos de acceso, información bancaria u otros datos personales del usuario. Así, cuando este coloca la dirección del sitio, es redireccionado de inmediato a uno falso sin percatarse de ello, motivo por el cual estos ataques pueden tener consecuencias devastadoras para una empresa.
Es un tipo de ataque relativamente nuevo y tiene lugar a través de las redes sociales. El estafador crea una cuenta muy parecida a la de una marca y se hace pasar por un agente de atención al cliente. Así, responde a los mensajes o quejas que publican los usuarios de la marca, fingiendo atender un reclamo u ofreciendo algún tipo de compensación.
El atacante emplea este tipo de técnica para enviar un link malicioso al usuario o entablar una conversación con él y solicitar sus datos personales.
Para prevenir y limitar los daños que un ataque de phishing puede causar a tu marca, es importante que tanto empleados como clientes aprendan a reconocer las señales. Estas son algunas de las más comunes:
Desconfía de los mensajes que son muy buenos para ser verdad, por ejemplo, de los que dicen que te has ganado la lotería o algún otro tipo de premio; lo más probable es que se trate de phishing.
Este es el caso contrario al anterior y es también una técnica muy usada por los estafadores, quienes buscan manipular a sus víctimas a través de las emociones, ya sean de agrado o de desagrado. Por ello, también debes tener cuidado con los mensajes alarmistas, que instan a seguir un link para evitar que tu cuenta sea bloqueada, por ejemplo.
Esta es una de las características más comunes de un ataque de phishing. Ya sea que se trate de una increíble oferta o de una inminente amenaza, el delincuente busca generar un sentido de alarma en su víctima, de que debe actuar rápido o de lo contrario algo terrible pasará. De esta forma empuja a la persona a actuar sin detenerse a razonar sobre las consecuencias de sus acciones.
Esto puede ser una señal de phishing. Las empresas se empeñan en cuidar la imagen que dan a sus clientes, y esto incluye la ortografía. Es posible que al imitar la imagen de una marca, el estafador no cuide todos los detalles.
Las URL contenidas en los mensajes también tienen este tipo de errores ya que buscan imitar a las originales sin ser exactamente idénticas.
Una de las señales de los mensajes de phishing, es que se trata de una persona o una empresa desconocida o de alguien con quien no sueles comunicarte. En estos casos, el remitente no se dirige a ti por tu nombre y el mensaje es genérico. Sin embargo, también hay que prestar atención a los mensajes personalizados, dirigidos específicamente a tu marca.
Generalmente, las empresas y proveedores de servicios no solicitan este tipo de información. Por ello es importante desconfiar de los mensajes que te piden, por ejemplo, que confirmes la información de tu cuenta.
Afortunadamente, existen varias medidas que puedes aplicar para proteger tu marca de un ataque de phishing. A continuación se mencionan las más relevantes:
– Comprueba que la página web tenga un certificado SSL emitido por una Autoridad de Certificación.
– Cambia las contraseñas de la empresa con regularidad y asegúrate de respaldar tus datos fuera de la red. Así, en caso de un ataque, serás capaz de restablecer tu información.
– Educa a tus empleados y tus clientes acerca de los principales tipos de phishing y de cómo evitarlos.
– No hagas clic en enlaces dudosos. Si no estás seguro de la autenticidad de un enlace, puedes pasar el cursor por encima para verificar que la dirección que se muestra es auténtica.
– Habilita la autenticación en dos factores en todas las cuentas que ofrezcan esta opción.
– En ningún caso proporciones tu información personal.
– Presta atención a errores ortográficos en el mensaje y discrepancias en la dirección del remitente.
– Si no estás seguro de que el correo electrónico es auténtico, puedes contactar directamente a la empresa de la que dice provenir mediante un número que hayas usado anteriormente.
– No abras correos electrónicos de un remitente que no conoces.
– Actualiza tu sistema de seguridad y mantente siempre un paso por delante de los estafadores. Acude a los expertos y busca un software integral de ciberseguridad como el que ofrece Red Points.
La seguridad de tu marca no puede tomarse a la ligera. La acelerada digitalización de la economía y el trabajo desde casa traen consigo no solo grandes oportunidades, sino también nuevas amenazas.
Actualmente, la creciente industria del comercio electrónico es una de las más afectadas por ciberataques como el phishing, que pueden acarrear graves repercusiones para la reputación y los ingresos de tu marca.
En Red Points sabemos que la prevención es la mejor defensa y contamos con tecnología a la vanguardia y expertos del sector para brindar a tu marca una protección integral las 24 horas del día.
Nuestro Software de Protección de Identidad detecta, valida y elimina cuentas, aplicaciones, sitios web y dominios falsos de forma automática, protegiendo tu marca, tus clientes y tu reputación ante cualquier ataque.
Más del 51 por ciento de los usuarios de Facebook han adquirido productos o servicios…
El hecho de descubrir que alguien ha robado tu material protegido por derechos de autor…
La seguridad de tus clientes lo es todo para ti y para tu organización. Es…
En el último año, la suplantación de marca de identidad ha aumentado drásticamente. Los delincuentes…