¿Cómo afecta un ataque de phishing a una empresa y cómo prevenirlo?

Un ataque de phishing parece una táctica simple y poco elaborada por parte de los ciberdelincuentes.

El proceso es el siguiente, crean una página web de phishing, crean un correo electrónico de phishing, envíe ese correo a los destinatarios específico.

A partir de aquí, a esperar que lleguen las credenciales de acceso e información comprometida facilitada directamente por las víctimas.

Tipos de campañas de phishing

Los ciberdelincuentes pueden realizar las campañas de phishing de 2 formas:

• Ataque a una base amplia de usuarios, proyectan una red menos dirigida pero más amplia con la esperanza de comprometer a la mayor cantidad de personas posible.
• Ataques más dirigidos, que llegan a menos personas, pero son más enfocados y sofisticados, que reciben el nombre de spear phishing.
  • Los hackers pueden implementar campañas BEC (Business Email Compromise) donde el establecimiento de la confianza se basa en correos internos de la propia organización. Quieren establecer confianza con su víctima y esperan una respuesta a su correo electrónico, al no llevar incluida ninguna URL hace que sea más difícil detectar el ataque.
  • O también, y algo muy en auge en los últimos tiempos de la pandemia, los llamados ataques de caza de ballenas o “whaling”, que apuntan a directores ejecutivos u otras personas de alto rango.

Un ataque de phishing exitoso puede afectar a una organización de varias maneras. Las principales consecuencias, por orden de probabilidad son:

• Pérdida de datos
• Ponen en compromiso cuentas y credenciales de acceso
• Infecciones de ramsonware y/o malware
• Pérdidas financieras y fraudes por transacciones bancarias.

Aparte de los ataques a través del correo electrónico, los hackers utilizan otras vías como pueden ser las redes sociales, los mensajes de texto (llamado smishing) e, incluso, algunos usan correos de voz (vishing)

Protección eficaz ante los ciberataques

Una empresa, para protegerse y, a su vez, ayudar a sus empleados a frustrar las campañas de phishing debe hacerlos partícipes de la política de seguridad y formarles en ella.

En primer lugar, se debe realizar una formación básica en ciberseguridad, sin dar por hecho que conocen la terminología específica. De esta forma evitará que los empleados no se comprometan o se desconecten desde el principio al no entender de lo que se está hablando.

La empresa debe tratar de concienciar a sus empleados que no se trata únicamente de una “cosa del trabajo” sino que también puede verse impactado en su hogar, por lo que debe ver el valor general de mejorar su conocimiento de la seguridad.

De forma implícita, un mejor comportamiento de los empleados, con la formación en ciberseguridad suficiente, mejora la seguridad de la organización. Para aprovechar el conocimiento sobre las amenazas, las empresas deben capacitar a los usuarios sobre temas relacionados con ataques conocidos en la organización, crear pruebas de phishing que imiten las amenazas de tendencia y brindar capacitación específica a las personas que están siendo blanco de ciertos tipos de ataques.

Correlacionar las actividades de sensibilización y formación con otras funciones de seguridad desarrolladas o auditadas por el CISO y su equipo, como puede ser la toma de métricas específicas sobre, por ejemplo, número de veces que un usuario debe crear, o cambiar, una nueva contraseña o el seguimiento de las posibles violaciones de prevención de pérdida de datos, pueden servir para medir el nivel de concienciación en seguridad de la organización.