.png?width=1214&name=Group%201%20(1).png "Group 1 (1)")
Los ataques phishing suelen ser simples y al mismo tiempo peligrosos: utilizando un correo electrónico o un sitio a manera de fachada, los cibercriminales consiguen engañar al internauta para robar sus datos.
Para 2019, la tendencia es que estos ataques sean más sofisticados, humanizados y abarcadores. Así, además de amenazar la seguridad en línea de los usuarios comunes, los phishings mantendrán en la mira a un blanco mayor: las empresas. Allá por el 2017, cerca del 76% de las compañías ya sufrían este tipo de ataques, y año a año los números continúan subiendo de manera significativa.
En la lista a continuación, se detallan los principales tipos de ataques phishing a tener en cuenta para este 2019 y las medidas básicas que puede tomar para protegerse.
1 - Spear Phishing
La comodidad y los beneficios de los servicios en la nube son básicos para un negocio, pero también es necesario invertir en seguridad, ya que este tipo de tecnología será uno de los principales objetivos de ataque de los cibercriminales durante este año.
Según Hoxhunt, los casos de phishing en soluciones de SaaS (Software as a Service) crecieron 237% el año pasado. El funcionamiento del ataque es similar al convencional: un correo electrónico o sitio incorpora una institución de confianza del usuario para intentar robar sus datos. Sin embargo, en vez de buscar credenciales de banco, los cibercriminales buscan logins de servicios como Office 365 y G Suite. Cabe destacar que el ataque puede ser mucho más nocivo para la empresa: con un simple login, los hackers pueden tener acceso a todos los datos disponibles.
¿Cómo se puede proteger? El primer consejo es adoptar mecanismos básicos de defensa, como verificación en dos etapas. Asimismo, siempre es bueno permanecer conectado y no introducir datos sensibles como login o contraseña en páginas sospechosas.
2 - Phishing con chat en tiempo real
Otro golpe de phishing dirigido a las empresas que está creciendo es el Business Email Compromise (BEC), modalidad que no utiliza emails preparados, sitios falsos con campos donde introducir los datos o botones para hacer click. Toda la acción ocurre en tiempo real.
Los cibercriminales incorporan una persona del mundo corporativo o de un cargo próximo a la víctima, como un compañero de trabajo o jefe, y comienzan a enviar emails simulando una conversación normal. Este tipo de ataque busca robar informaciones más específicas, que normalmente se deslizan durante la charla, luego de que el criminal gana la confianza de su objetivo. En 2018, los ataques de BEC causaron una pérdida de USD 12 mil millones a nivel mundial y tuvieron un crecimiento del 55% en relación al año anterior.
En la misma línea, otro esquema que creció 45% en los Estados Unidos el año pasado fueron los phishings a través de una llamada telefónica. Los cibercriminales usan nombre de bancos y operadoras para obtener los datos de las víctimas por medio de un bot que conversa en tiempo real.
¿Cómo se puede proteger? A pesar de que los mensajes que se envían en este tipo de ataques son personalizados para cada víctima, una manera fácil de desenmascarar el fraude es verificar las credenciales de la persona que está conversando con usted: comprobar su email o el número desde donde llamó, si es genuino o no. Otra forma es intentar confirmar la identidad del interlocutor: si están utilizando el nombre de su jefe durante este ataque BEC, entre en contacto con él personalmente o por otro canal de comunicación antes de compartir datos en la conversación sospechosa.
3 - Sitios con HTTPS
Los ataques phishing más tradicionales, que crean sitios falsos para robar informaciones, deben utilizar, en 2019, un arma como medida de seguridad: el HTTPS. Desde el año pasado, Google comenzó a indicar los sitios que tienen “conexiones seguras” con un candado verde al lado de la dirección, pero eso sólo garantiza que el intercambio de datos con el dominio se realiza de manera encriptada.
4 - Cebos en redes sociales
Aparte de los emails y sitios, otro medio que se usa cada vez más para phishing son las aplicaciones de mensajería, desde redes sociales como Facebook hasta apps de comunicación como Skype y WhatsApp.
Los esquemas en redes sociales varían y pueden darse por medio de mensajes de bots, cuentas falsas e incluso anuncios falsos que aparecen en el feed del usuario. Según Phishlabs, el número de ataques a través de canales sociales se triplicó en el último año, y el crecimiento es tan grande que algunos especialistas creen que esos medios pueden, en un futuro, superar al uso de los emails.
En este ambiente, el primer paso para protegerse es desconfiar de los bots y las cuentas que soliciten información confidencial. En el caso de los anuncios, el consejo es investigar a la empresa que está promocionando esas publicaciones antes de compartir cualquier tipo de dato. Facebook, por ejemplo, cuenta con un botón que muestra más detalles sobre los ads que le aparecen al usuario.
¿Cómo proteger a su empresa?
Con la solución para phishing de Axur, monitoreamos su marca para identificar y eliminar sitios que puedan hospedar phishings que podrían perjudicar a sus clientes y la relación de ellos con su marca. ¿Le interesaría conocer más? Haga click aquí y solicite una demostración de nuestra plataforma de monitoreo Axur One.
