Phishing en tu empresa: ¿Cómo evitar el robo de datos?

El retorno de las actividades económicas después de la pandemia y la implementación de la inteligencia artificial en ciberataques han sextuplicado los ataques de phishing en LATAM. Solo entre junio de 2022 y junio de 2023, fueron detectados y abordados 286 millones de ataques, de los cuales, 10,5 millones se ejecutaron en Chile.

Es una realidad que afecta a diversos sectores debido a su alta eficiencia en el robo de datos. Descubre cuáles son sus variantes y de qué forma evitarlo.

Phishing: tipos y funcionamiento 

El phishing es una técnica de manipulación con la que los ciberdelincuentes suplantan la identidad de personas, organismos e instituciones de renombre o que puedan resultarte conocidas, con el fin de extraer cualquier tipo de información confidencial referida a tu persona o negocio, que luego utilizan con fines maliciosos.

¿Por dónde se propaga este ciberataque? 

Las fuentes más comunes de exposición son el correo electrónico, los dispositivos móviles y las redes sociales. Los delincuentes informáticos utilizan estos canales para enviar mensajes engañosos que inducen a compartir datos, generando pérdidas económicas y problemas de ciberseguridad en empresas que pueden llegar a comprometer su reputación.

¿Qué datos se obtienen con el phishing? 

A través de los ataques de phishing, los ciberdelincuentes pueden obtener una variedad de datos, bien sean sobre algunas de las personas que ocupan posiciones dentro de la empresa o del propio negocio, entre los cuales se incluyen: 

¿Cuántos tipos de phishing existen?

A medida que la tecnología avanza, los ciberdelincuentes desarrollan nuevas técnicas para cometer sus delitos, por eso hay varias modalidades de ataques. Entre los tipos de phishing más comunes que pueden llegar a afectar a tu empresa, destacan: 

• De correo: es una de las formas más usuales de phishing y se ejecuta mediante el envío de mensajes de correo con enlaces que conducen a páginas web falsas. Es normal que se hagan pasar por grandes empresas como Google, Microsoft o por compañeros de trabajo.
• Por SMS: el también llamado smishing, funciona del mismo modo que el phishing de correo, pero en este caso, la amenaza llega por mensajes de texto de atacantes que se hacen pasar por empresas de correos, operadoras móviles o entidades bancarias, entre otras.
• De malware: consiste en el envío de software malicioso que se adjunta en el correo electrónico como aparentes archivos de confianza, ya sea un CV o un extracto bancario. En caso de abrir uno, podría detener el sistema TI de golpe.
• Por voz: los phishers también pueden hacer llamadas telefónicas, asumiendo identidades falsas y usando ingeniería social para convencer a sus víctimas para que instalen malware en sus dispositivos en forma de aplicación.
• Phishing de objetivo definido: tiene como objetivo a personas específicas mediante una investigación minuciosa que logra un alto nivel de personalización, resultando ser bastante efectivos.
• Phishing de altos cargos: sucede cuando el objetivo es un directivo de una empresa o persona con cierta fama. Su modo de operar es similar al anterior y tiene el fin de robar credenciales o información confidencial.

¿Cómo identificar un ciberataque de phishing?   

Aunque los ciberdelincuentes actualizan constantemente sus tácticas para mantenerse al día con las últimas tendencias, hay algunas señales que pueden identificarse:

Mensajes con faltas ortográficas

Hay mensajes de phishing que suelen contener errores ortográficos evidentes o incluyen imágenes de baja resolución. Por lo general, ninguna persona, institución o empresa de renombre incurre en este tipo de faltas, así que, este es un primer indicio para dudar.

Dominios de correo no coincidentes

También generan muchas sospechas los mensajes de supuestas empresas acreditadas con solicitud de información sensible, que son enviados desde cuentas de correo electrónico cuyo dominio no coincide con el nombre de la entidad. Como por ejemplo, cuando recibes un email de Entel cuyo remitente es contacto@empresasdetelefono12.com.

Invitaciones a clicar en enlaces

Las compañías legítimas pueden comunicarse con sus clientes por email, pero es muy raro que envíen mensajes de texto o correos electrónicos requiriendo acceder a enlaces para actualizar detalles de pago o información financiera. Esta invitación provoca mucha incertidumbre y desconfianza.

Saludos genéricos 

Actualmente, la mayoría de las empresas se dirigen a sus clientes de forma personalizada (usando el nombre de pila y firmando al final del correo). Quienes reciben mensajes con saludos genéricos, que incluyen archivos adjuntos no requeridos o solicitudes de datos, pueden estar relacionados con la ciberdelincuencia.

¿Qué hacer para evitar el phishing? 

Lo primero y más importante es tomar conciencia en cuanto a sus alcances, y educarse de forma anticipada para poder detectarlo y restringirlo con total precisión. Para ello, los expertos recomiendan:

Respaldar los datos

Realiza copias de seguridad de información de la empresa con frecuencia y asegúrate de que las mismas no estén conectadas a la red, para que puedas recuperar la información, aun cuando los atacantes hayan accedido.

Emplear métodos de verificación en dos pasos

Instala los parches de seguridad y las actualizaciones más recientes. Además, apóyate en otros medios de protección, como la verificación en dos pasos o MFA para ofrecer una capa de seguridad adicional a cuentas de correo, redes sociales y billeteras digitales.

Educar al personal 

Ofrece sesiones de orientación y capacitación sobre el phishing a todo el personal de la empresa para que aprenda a detectarlo y a protegerse. Explica que es prioritario desconfiar de mensajes alarmantes que provengan de fuentes desconocidas e incluyan links y archivos sospechosos. 

Entel Digital: soluciones de ciberseguridad 

Además de hacer frente al phishing con las medidas señaladas, es vital contar con soluciones integrales para evitar problemas de ciberseguridad en empresas como la tuya.

En Entel Digital contamos con servicios de consultoría, gestión y soluciones técnicas de alto nivel que te ayudarán a proteger los activos digitales y datos sensibles de tu empresa.

Desarrolla junto a nosotros una estrategia robusta de seguridad informática y comienza a reducir las vulnerabilidades y brechas de tu negocio, aumentando, al mismo tiempo, tanto la resiliencia como la confianza de tus operaciones.