El phishing o suplantación de identidad, es un tipo de ciberataque en el que a través de comunicaciones falsificadas el usuario es engañado con el objetivo de robarle sus credenciales y poder acceder a información confidencial. Se ha posicionado como el método de robo de información más empleado por los ciberdelincuentes. De hecho, el Ministerio del Interior señala que en 2022 se produjeron un total 375.506 ciberdelitos, un 72% más que los registrados en 2019.
Para llevar a cabo este fraude, el entorno laboral se ha convertido en uno de los preferidos por los ciberdelincuentes, pues, según recogen fuentes externas, el 91% de las empresas corre riesgo de sufrir un ataque de phishing en 2023. A menudo utilizan la apariencia de correos electrónicos corporativos en sus comunicaciones para engañar a los empleados y obtener acceso a las plataformas, aplicaciones internas o al sistema informático de la compañía. Este tipo de correos pueden parecer provenir de compañeros de trabajo, departamentos internos o incluso de superiores, lo que aumenta la posibilidad de que los empleados caigan en el engaño.
Con la vuelta al trabajo después de las vacaciones, el phishing, que en el entorno laboral tiene como objetivo obtener información confidencial o sensible que puede comprometer a la empresa, se convierte en una de las técnicas más efectivas. Como consecuencia de la urgencia por ponerse al día y la acumulación de comunicaciones no revisadas durante la ausencia del trabajador es más sencillo que estos caigan en el fraude y entren en enlaces maliciosos o proporcionen información confidencial sin la debida verificación.
Las empresas deben comprender que la seguridad cibernética es responsabilidad de todos, y un enfoque colaborativo es esencial para mantener los datos y la información seguros en esta la digital. Por eso, desde IMMUNE Technology Institute, consideramos que la lucha contra el phishing requiere una estrategia integral que abarque desde la educación hasta la tecnología avanzada.
Miguel Rego, director del área de Ciberseguridad en IMMUNE, teniendo en cuenta que el correo electrónico es una de las principales herramientas de trabajo en todas las empresas, ha identificado los puntos clave que pueden ayudar a proteger al usuario del phishing:
- Revisión del contenido del correo: ante un remitente desconocido o un dominio que no coincide con la entidad que afirma representar, el usuario debe ejercer una revisión cautelosa. Si la comunicación parece inusual o poco convincente, es recomendable abstenerse de interactuar o hacer clic en enlaces adjuntos. Una medida muy simple puede prevenir muchas intrusiones no autorizadas.
- Mensajes que generan sensación de urgencia: los ciberdelincuentes suelen recurrir a este tipo de mensajes para solicitar alguna acción de manera urgente. Alertas de seguridad o notificaciones de paquetes pendientes o envíos urgentes son algunos de los avisos que suelen emplear. Ante este tipo de comunicaciones, es recomendable comprobar la verificación del mensaje a través de canales oficiales, en lugar de tomar acciones rápidas que podrían comprometer la seguridad.
- Protección de datos personales o bancarios: el usuario debe de tener muy claro que nunca puede facilitar datos personales en páginas web a las que haya accedido a través de un enlace incluido en un email. En caso de tener que hacerlo, siempre va a ser preferible entrar a la página web tecleando su dirección en el navegador para garantizar así su legitimidad. Por lo general, las compañías o instituciones públicas no suelen solicitar información personal a través de enlaces facilitados por mensajes de texto o correos electrónicos.
- Atención a los archivos adjuntos: en la mayoría de las ocasiones estas comunicaciones suelen venir acompañadas de archivos adjuntos para que al descargarlos el ciberdelincuente pueda entrar en el equipo de la persona estafada. En caso de sospecha, siempre es preferible llamar al banco o empresa involucrados antes de descargar cualquier tipo de archivo que puede que contenga malware o virus, previniendo ataques a mayor escala.
- Reconocimiento de las comunicaciones impersonales: estas comunicaciones carecen de la autenticidad y personalización que caracteriza a las interacciones legítimas entre entidades y usuarios. Se plantean mensajes de la manera más general posible para maximizar su impacto. En el contexto laboral, la identificación de comunicaciones impersonales cobra un significado aún mayor, pues los ciberdelincuentes pueden intentar hackear la estructura jerárquica de la compañía, enviando mensajes que parezcan provenir de departamentos internos con saludos genéricos, esperando que el empleado siga las instrucciones sin cuestionar al remitente que, aparentemente, es una persona de mando dentro de la empresa