Conocer qué es el phishing te permitirá estar al tanto de los tipos de fraudes que puedes encontrar en Internet y, además, poder evitarlos. En Genesys queremos contarte en qué consisten estos fraudes y cómo reconocerlos.
¿Qué es el phishing?
El phishing son técnicas de ingeniería social utilizadas por hackers para robar información personal o corporativa, como credenciales, claves o números de tarjetas bancarias. El término “phishing” tiene su origen en la palabra fishing -“pesca” en inglés- y hace referencia al acto de “pescar” usuarios utilizando “anzuelos”.
Para llevar a cabo el robo, los sujetos manipulan a la víctima por medio de múltiples tácticas. Estas trampas son cada vez más elaboradas y con ellas se pueden obtener contraseñas e información financiera.
En 2020 y con el giro al trabajo remoto producto de la pandemia de COVID-19, el phishing creció un 400% en Chile. Esto significó un alto costo para las empresas, debido a la pérdida de información y bloqueo de sistemas críticos.
Te podría interesar: 6 usos de inteligencia artificial en la medicina
¿Cómo reconocer el phishing?
Por lo general, el engaño se da a través de un correo electrónico cuyo nombre de usuario es similar al de algún conocido, cliente o proveedor. En él se solicita a la víctima la actualización datos, envío de facturas, así como informar sobre problemas con pedidos o números de seguimiento. Si bien los escenarios son reales, los mensajes son falsos. De esta manera, los ciberdelincuentes envían correos, hasta que alguien cae en el engaño.
Existe un patrón similar en las acciones para llevar a cabo la estafa, lo cual permite detectar de manera temprana si se está ante un caso de phishing. De acuerdo al documento Fraudes a través de emails corporativos realizado por el Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, los ciberdelincuentes actúan según cuatro pasos.
1. Identificación del objetivo
En esta primera fase, los delincuentes reúnen información sobre las empresas para perfilar a sus ejecutivos y empleados. En el caso de las instituciones públicas, se sirven de páginas de transparencia, para identificar empleados, nombres y cargos funcionales, entre otros datos.
2. Ingeniería Social
Luego, los ciberdelincuentes contactan a miembros de la organización mediante las diferentes técnicas de ingeniería social, como el mail phishing y llamadas telefónicas típicamente enfocadas a personas que pertenecen a departamentos de finanzas.
Los ciberdelincuentes usan recursos comunicacionales que combinan la persuasión, demostrando urgencia o apelando a alguna situación contextual que requiere de una respuesta rápida.
3. Intercambio de información
Una vez que se ha logrado convencer a la víctima, esta es llevada a realizar una transacción legítima, recibiendo las instrucciones y documentaciones debidamente adulteradas, para cumplir con los procesos identificados con antelación por los delincuentes.
4. Transferencia
Finalmente, los fondos son transferidos a una cuenta bancaria controlada por los ciberdelincuentes. Si queda alguna posibilidad futura, continuarán realizando la estafa a más personas.
¿Cómo evitar el phishing en la oficina?
El 80% de las brechas de seguridad se producen por errores humanos, no solamente es por la tecnología, sino por el uso de esta. Por ello, se debe considerar la importancia de la educación y concientización de los colaboradores, y así evitar este tipo de engaños.
Prevenir estos fraudes no solo significa un ahorro en la recuperación de los sistemas, sino también evita la pérdida de reputación e imagen dentro del mercado.
Un 70% de las estafas tiene que ver con temas contingentes, ya que ahí las personas son más susceptibles. En Chile se dan generalmente en las temáticas relacionadas con:
- Cuenta corriente/vista bloqueada de bancos o casas comerciales.
- Pago de facturas no procesadas.
- Ofertas de productos de proveedores a muy bajo precio.
- Pagos adeudados por la tesorería.
- Supuesto correo robado y captura de imágenes del dispositivo.
- Correos del departamento de informática que solicita cambiar contraseñas.
Las recomendaciones para los usuarios y empresas son:
- Educar y concientizar a los empleados, respecto a las consecuencias y el cómo detectarlo.
- No utilizar el mail corporativo en registro de páginas personales.
- No compartir las contraseñas entre compañeros.
- No reutilizar contraseñas en distintos sitios web.
- Utilizar claves robustas en correos y sistemas.
- Verificar el remitente del correo.
- Ninguna entidad responsable, le solicitará credenciales o claves.
- Nadie le venderá productos por un valor muy por debajo del comercio.
- Verificar la fuente de información.
- Desconfiar de adjuntos o link a sitios.
- Tener antivirus actualizado.
- Políticas y normas de seguridad organizacionales.
- Contar con dispositivos firewall actualizados y bastionados.
También puedes leer: Módulos de SAP, ¿cuáles son y qué función tienen?
Protege a tu negocio del phishing y otros ciberataques
En Genesys contamos con un equipo de expertos consultores que pueden ayudarte con la ciberseguridad de tu negocio. Nuestros desarrollos de software cuentan con las mejores prácticas de seguridad de la información “Security by Default” para tu compañía. Te invitamos a ponerte en Contacto y conocer cómo podemos ayudarte.