El phishing se ha convertido en uno de los ciberdelitos más comunes hoy en día, y los autónomos y las pymes están entre las principales víctimas. Los delincuentes son conscientes de que todavía existe cierto desconocimiento en cuanto a su modus operandi, y aprovechan esto para robar información confidencial que incluye desde datos personales hasta claves bancarias.
Las fuerzas y cuerpos de seguridad del Estado luchan a diario contra este tipo de delincuencia, pero no está de más que las posibles víctimas apliquemos medidas de prevención para evitar sufrir las consecuencias del robo de datos.
Índice de contenidos
¿Qué es el phishing?
Es una técnica a través de la que el ciberdelincuente engaña a la víctima para obtener información confidencial de la misma. Esto incluye desde números de tarjetas de crédito hasta contraseñas bancarias. Para ello, se hace pasar por entidades de confianza como empresas o bancos.
Se comunica con su víctima a través de correo electrónico, mensajes de texto o llamadas, y obtiene sus datos para robar después su dinero.
¿Qué tipos de phishing existen?
Phishing deriva de la palabra inglesa fishing, que significa «pescar». Y es que la conducta que lleva a cabo el delincuente es similar a la pesca, porque lanza un “anzuelo” que consigue engañar a la víctima.
En los años 70 del siglo pasado ya había algunos casos de estafas a través de la línea telefónica. Lo que hacían los delincuentes era alterar las líneas para poder llamar de forma gratuita o acceder a números de teléfono que no aparecían en los listines.
Con el acceso masivo a internet, los ataques de phishing se multiplicaron y se fueron sofisticando. En la actualidad, los delincuentes siguen perfeccionando sus técnicas, consiguiendo que sus mensajes parezcan cada vez más legítimos, lo que lleva a las víctimas a caer en su engaño.
A día de hoy, podemos distinguir varias forma de llevar a cabo este delito:
Spear phishing
Busca el engaño de la víctima a través de un correo electrónico que está muy personalizado. Para poder elaborarlo, el hacker primero estudia a su víctima y accede a su información para crear una comunicación que parezca lo más verídica posible.
Por ejemplo, el personal de contabilidad de una empresa puede recibir un correo electrónico que aparenta llegar desde el departamento de finanzas. Alguien que se identifica como uno de los ejecutivos solicita a los miembros de contabilidad que hagan una determinada transferencia para hacer un pago a un proveedor, advirtiéndoles de que es urgente porque el abono tiene que hacerse lo antes posible.
El empleado que lo recibe no percibe en ello una amenaza ni un indicio de fraude y, consciente de la urgencia, efectúa el pago solicitado.
Phishing de clonación
En este caso, lo que hace el hacker es intervenir comunicaciones legítimas y utilizarlas para aportar información falsa o añadir links que le van a dar control sobre el dispositivo de la víctima.
Uno de los casos típicos de este phishing es el conocido como la «estafa del directivo». El hacker interviene las comunicaciones de la empresa y, cuando la misma envía una factura a un cliente, intercepta el correo electrónico y cambia los datos para que la transferencia del cliente se haga a una cuenta suya.
Nadie suele darse cuenta del problema hasta que, pasado un tiempo, la empresa proveedora advierte que no ha cobrado y, al reclamar a su cliente, este alega y puede probar que ha hecho el pago. Es entonces cuando se puede comprobar que la factura o el número de cuenta han sido manipulados.
Phishing telefónico
En esta modalidad, una supuesta entidad bancaria, una empresa de confianza, la Policía, o hasta la Agencia Tributaria, llaman a la víctima. Le cuentan que existe algún tipo de problema y que debe solucionarlo inmediatamente aportando información o realizando un pago.
La víctima, que se ve sorprendida y apurada por la situación, en ese momento no tiene ni tiempo de pensar y hace lo que le piden. Esta práctica también se lleva a cabo a través de mensaje de texto SMS, e incluye un enlace malicioso que se hace con los datos de la persona o empresa.
Consejos para proteger tu empresa frente al phishing
Adoptar unas medidas de precaución es esencial para reducir el riesgo de que los datos de tu negocio sean sustraídos.
Educación y concienciación
Forma a tus empleados sobre cómo funciona el phishing, para que sean capaces de identificar mensajes que pueden ser sospechosos. Además, establece un sistema de actuación en caso de que se reciban mensajes que no se sabe si son legítimos o no. Por ejemplo, consultar con el jefe del departamento antes de hacer pagos o suministrar ciertos datos.
Filtrar el correo electrónico
Utilizar un buen sistema de filtro de correo electrónico permite bloquear mensajes altamente peligrosos. Con el sistema de listas blancas y listas negras, es fácil controlar que correos llegan a la bandeja de entrada y cuáles se bloquean.
Software de última generación actualizado
Cualquier software que se utilice en tu negocio debe ser de última generación y estar actualizado a la última versión disponible. Los desarrolladores trabajan para hacer sus sistemas cada vez más efectivos, y la última versión es la que ofrece un mayor nivel de protección frente al malware y otras amenazas cibernéticas.
Monitoreo de actividad inusual
Instalar sistemas de monitorización ayuda a detectar actividades sospechosas en las redes y sistemas de la empresa. Por ejemplo, si se ha llevado a cabo un intento de inicio de sesión desde una ubicación desconocida.
Autenticación en dos factores
Otra medida de seguridad esencial es la autenticación de dos factores en todas las cuentas de usuario de la empresa. Así, cuando un trabajador se identifique para acceder a un programa, se le requerirá una segunda verificación a través de otro sistema, como el envío de un mensaje a su teléfono móvil.
Estar atentas a las nuevas técnicas de phishing, formar a los empleados y utilizar herramientas de última generación es la mejor forma que tienen las empresas para protegerse frente a los ciberdelitos.