El phishing y las estafas suponen uno de los riesgos más importantes para las empresas durante el verano, ya que los ciberdelincuentes engañan a los empleados para que divulguen información confidencial. Estas técnicas incluyen páginas falsas de servicios de gestión de vacaciones diseñadas para que los empleados más desprevenidos caigan en su trampa.
En verano, es normal que muchos empleados se distraigan pensando en las ansiadas vacaciones. Esto es algo que los ciberdelincuentes saben muy bien, y aprovechan para conseguir credenciales corporativas a través del phishing.
De hecho, según un reciente estudio de Kaspersky sobre la actitud en torno a la seguridad cibernética, realizado entre mil españoles, desvela que el 58% ha recibido intentos de ataques de phishing y 15,5% reconoce haber caído en el engaño. Por este motivo, Kaspersky analiza las principales estafas que circulan durante el verano entre los trabajadores más despistados.
En este sentido, la situación más habitual comienza con un e-mail. El fin de los ciberdelincuentes con este correo electrónico es que el usuario haga clic en el enlace de phishing incluido. Para llevar a cabo esta técnica, los atacantes suelen manipular a la víctima y llamar su atención aprovechando el miedo o curiosidad por saber más de lo que informa dicho mail.
En concreto, durante verano los ciberdelincuentes utilizan estrategias como el uso del calendario de vacaciones, ya que muchos empleados ya tienen sus planes organizados para disfrutar de unos días de descanso. Sin embargo, los ciberdelincuentes pueden enviar correos electrónicos haciéndose pasar por el equipo de recursos humanos, alegando una supuesta reprogramación repentina de las vacaciones y solicitando la confirmación de nuevas fechas.
El e-mail falso de RR. HH.
En estos casos, los expertos destacan que lo más importante es resistir la tentación de hacer clic sin pensar en el enlace para comprobar las fechas de vacaciones. Aunque también es fundamental cerciorarse de que el remitente no es otro trabajador de la empresa, o que el “director de RR. HH.” que “envía” el correo no tiene nombre y su firma no coincide con el estilo corporativo propio de la empresa.
Kaspersky advierte que todavía es posible identificar otros indicios de phishing en el sitio web de los atacantes. Por ejemplo, el enlace proporcionado en el correo electrónico anterior redirige a un sitio que carece de fiabilidad.
Sitio de phishing que roba credenciales
Si el usuario presta atención a la url, notará que el archivo no está alojado en el servidor de la empresa, sino en servicios de cloud en los que cualquier persona puede alquilar un espacio. Además, el nombre del archivo no coincide con el nombre del PDF que se especificaba en el correo electrónico. Por supuesto, una vez que la víctima ingresa su contraseña en la ventana de inicio de sesión, esta se enviará directamente a los servidores de los ciberdelincuentes.
Para reducir la probabilidad de que los empleados de una compañía se topen con correos electrónicos de phishing, los expertos de Kaspersky recomiendan:
• Contar con una solución de seguridad que proteja todos los aspectos del correo electrónico corporativo.
• Contar con una solución de seguridad para endpoints en todos los dispositivos conectados a Internet.
• Realizar formaciones periódicas de sensibilización a los empleados sobre las ciberamenazas más recientes o, como mínimo, mantenlos informados sobre las posibles estafas de phishing.
“Los ciberdelincuentes aprovechan cualquier momento para ocasionar daño a las empresas, pero en verano, con los pensamientos puestos en las vacaciones, parece que este tipo de estafas se incrementa entre los empleados más despistados. Por ello, es fundamental realizar formaciones a los equipos y contar con soluciones de ciberserguridad que mantengan protegidos los datos de la empresa”, concluye Marc Rivero, Senior Security Researcher de Kaspersky.