Prepárese para el cibercrimen antes de que sea demasiado tarde. Así es como su empresa puede defenderse de las estrategias de phishing y crear un programa de ciberseguridad proactivo.
Introducción
Las empresas son conscientes de la necesidad de fortalecer la ciberseguridad. Sin embargo, lo que su empresa quizá no sepa es la magnitud del cibercrimen actual.
¿Sabías que en el primer trimestre de 2022 se produjeron más de 1 millón de ataques de phishing? Según Un estudio del Grupo de Trabajo Antiphishing, esa cifra incluye un aumento del 7% en el phishing por robo de credenciales que se informó entre los usuarios empresariales y que representa casi el 59% de todos los correos electrónicos maliciosos. No sólo ha aumentado el número y la frecuencia de los ataques de phishing, sino que también las técnicas utilizadas por los piratas informáticos se han vuelto más avanzadas.
¿Qué puede hacer para proteger a su empresa de estafas de phishing?
Veamos cómo identificar ataques de phishing, qué puede hacer para proteger su negocio de estas estafas, los beneficios de asociarse con una empresa de ciberseguridad y cómo elegir la adecuada para usted.
Capítulo 1:
Introducción a los ataques de phishing
Desde su primera instancia, las estafas de phishing se han vuelto cada vez más generalizadas, sofisticadas y costosas.
¿Qué es el phishing y por qué debería importarte?
Una campaña de phishing por correo electrónico engaña a las víctimas para que revelen información confidencial, abran archivos adjuntos con malware o visiten sitios web maliciosos creando una sensación de confianza, miedo, curiosidad o urgencia.
Los malos actores utilizan técnicas de ingeniería social para persuadir a empleados desprevenidos a creer que el correo electrónico de phishing proviene de una fuente confiable, como un colega, un supervisor, una institución bancaria, una agencia gubernamental, etc.
Los ejemplos de phishing incluyen correos electrónicos disfrazados de comunicación de un servicio en línea o una cuenta de redes sociales que alertan a la víctima de una violación de la política o un evento que requiere una acción inmediata, como restablecer contraseñas o verificar credenciales de inicio de sesión.
El phishing se ha vuelto más sofisticado que nunca a medida que los estafadores utilizan las últimas tecnologías y técnicas de manipulación psicológica para aprovecharse de sus víctimas.
Por ejemplo, malos actores crean sitios web HTTPS para falsificar a usuarios desprevenidos porque muchas personas asumen que esos sitios son confiables y seguros. También procesan una gran cantidad de datos que roban de los correos electrónicos con herramientas avanzadas de aprendizaje automático para analizar los comportamientos de los usuarios y diseñar estafas de phishing más efectivas.
Los costes financieros de estas infracciones son aún más preocupantes. El Instituto Ponemon descubrió que las empresas perdieron un promedio de $14,8 millones por phishing en 2021. También sufren otros impactos financieros:
- Daño a la reputación y consecuencias para las relaciones públicas
- Pagos de ransomware
- Pérdida de productividad de los empleados
- Reducción de la salud mental y el bienestar de los empleados
- Honorarios legales, reclamaciones de responsabilidad y multas regulatorias
- Aumenta el presupuesto de ciberseguridad
- Aumento de las primas de seguros para la cobertura cibernética
¿Qué causa el aumento de las campañas de phishing?
El cambio global hacia el trabajo remoto y la adopción masiva de nuevas tecnologías empresariales basadas en la nube son las principales razones del aumento de las estafas de phishing. El problema se ve agravado por el fracaso de muchas empresas’ a la hora de implementar las medidas de seguridad adecuadas para proteger su entorno.
¿Cuáles son los diferentes tipos de ataques de phishing?
Las estafas de phishing explotan errores humanos, lo que las hace especialmente difíciles de frustrar. A medida que los malos actores buscan explotar las organizaciones, siguen surgiendo nuevos tipos de phishing con diferentes técnicas. A continuación se muestran los tipos más comunes de ataques de phishing.
 | Phishing de ballenasEl phishing de ballenas (también llamado caza de ballenas) tiene como objetivo a ejecutivos corporativos de alto rango, directores ejecutivos y otros empleados críticos porque los piratas informáticos pueden usar sus credenciales para acceder a datos valiosos o autorizar transferencias de dinero fraudulentas a sus cuentas. Los estafadores también pueden robar información confidencial de los empleados, venderla en la red oscura o utilizarla para robar identidad. Esta técnica de phishing puede causar graves daños a la reputación y la salud financiera de una organización. |
 | Compromiso de correo electrónico empresarial (BEC phishing)Los piratas informáticos suelen utilizar estafas de phishing BEC para atacar al personal contable o financiero y engañar a las víctimas para que transfieran dinero de cuentas corporativas a sus cuentas. Los delincuentes comienzan pirateando los correos electrónicos de los empleados financieros’ y monitoreando sus actividades para comprender los procesos y procedimientos de pago de la organización. Luego, envían un correo electrónico falso haciéndose pasar por un alto ejecutivo para indicarle al destinatario que transfiera dinero a sus cuentas bancarias. |
 | Clonar phishingEn un clonar campaña de phishing, los malos actores crean una réplica de un mensaje de correo electrónico legítimo en la bandeja de entrada de la víctima, reemplazan archivos adjuntos o URL con maliciosos y envían el correo electrónico nuevamente con una línea que explica por qué la víctima recibe el mismo mensaje. El correo electrónico falso está diseñado para que parezca provenir de un remitente legítimo. Los delincuentes pueden incluso crear un sitio web falso para engañar a las víctimas para que ingresen sus credenciales o descarguen malware. |
 | Vishing (Phishing de voz)En una estafa de phishing de voz, los ciberdelincuentes pueden hacerse pasar por personal de una institución financiera y llamar a las víctimas para solicitarles información de su cuenta, PIN u otras credenciales. También pueden llamar a empleados haciéndose pasar por proveedores o socios para engañar a las víctimas para que compartan información confidencial o autoricen el pago de una factura falsa. |
 | Smishing (Phishing de texto)Esta técnica utiliza mensajes de texto que parecen provenir de un remitente confiable para convencer al destinatario de que proporcione al atacante recompensas financieras o acceso a información explotable. Estafas de aplastamiento están en aumento a medida que la gente utiliza cada vez más los mensajes SMS como canal de comunicación principal. Pueden disfrazarse de avisos de recompensas del programa de fidelización de Amazon, correspondencia de envío de FedEx o actualizaciones del Servicio Postal de los Estados Unidos con enlaces a sitios falsos diseñados para robar información de tarjetas de pago y datos personales. |
 | Phishing de pescadores (segmentación en redes sociales)Los delincuentes se dirigen a sus clientes que utilizan las redes sociales para brindar atención al cliente. Crean cuentas falsas, secuestran conversaciones y engañan a sus clientes para que compartan sus credenciales. Algunos estafadores incluso crean perfiles comerciales falsos para enviar mensajes instantáneos, tweets, publicaciones y enlaces a sitios web clonados, donde engañan a las víctimas para que descarguen malware o ingresen su información confidencial. |
 | FarmaciaEste método de phishing utiliza técnicas de secuestro de DNS (sistema de nombres de dominio), suplantación de DNS y envenenamiento de caché de DNS para comprometer un servidor DNS y cambiar la dirección IP asociada con una URL legítima. Permite a los delincuentes redirigir a los usuarios a un sitio diferente donde pueden robar la información de la víctima. Las comparaciones entre ataques de pharming y phishing muestran que el pharming es una técnica más avanzada. Es más difícil de identificar y está diseñado para capturar a muchos usuarios de una sola vez. |
 | Phishing con lanzaPhishing con lanza es altamente personalizado para dirigirse a un individuo específico. Por ejemplo, podría dirigirse a sus empleados por su nombre o mencionar detalles sobre sus actividades profesionales recientes. Los piratas informáticos dedican tiempo a adquirir y analizar datos de múltiples fuentes y utilizan la información para crear correos electrónicos de phishing. Por lo general, incluyen el nombre del objetivo, el número de teléfono, la posición, la dirección de la empresa y otra información para que el mensaje parezca genuino. Debido a que el phishing selectivo es omnipresente, profundizaremos en algunos ejemplos para aclarar. |
Spear Phishing vs Phishing: ¿Cuál es la diferencia?
Comprender los matices entre el phishing selectivo y el phishing puede ayudarle a identificar mejor estos ataques y educar a sus empleados para evitar caer en estos esquemas.
El phishing es la práctica fraudulenta de intentar robar datos, identidad, credenciales o información financiera de un usuario. Engaña a una víctima para que abra un mensaje fraudulento en línea y realice ciertas acciones para que los atacantes puedan robar sus datos.
 | Phishing con lanzas versus tácticas de phishingLos ataques de phishing Spear son más sofisticados que el phishing normal. Aprovechan técnicas de ingeniería social para dirigirse a individuos específicos que poseen información de alto valor. Como tal, estas estafas pueden ser más perjudiciales para su empresa. |
 | Spear Phishing y objetivos de phishingEl phishing tradicional no se dirige a individuos específicos, sino que crea una amplia red para llegar a la mayor cantidad posible de víctimas potenciales. Spear phishing se dirige a personas específicas dentro de una organización en particular con mensajes personalizados. |
 | Métodos de ataque de phishing con lanza frente a phishingLos mensajes de phishing son más genéricos y aplicables a la mayoría de las personas (por ejemplo, restablecer una contraseña en un sitio web popular) Por otro lado, antes de que un hacker lance una trampa de phishing, recopila datos sobre la víctima en Internet, las redes sociales y la web oscura para crear un mensaje específico y creíble. |
 | Phishing con lanza y banderas rojas de phishingLos errores gramaticales, la información confusa y el lenguaje incómodo hacen que los correos electrónicos de phishing tradicionales sean fáciles de identificar. Por otro lado, la información algo precisa y convincente hace que los correos electrónicos de phishing sean más difíciles de detectar. |
¿cómo funciona el phishing?
Comprender el panorama de los delitos cibernéticos es el primer paso para educar a sus empleados y proteger su negocio. Aquí hay seis cosas que debes saber sobre el phishing:
1. La psicología del tiempo
Los phishers generalmente evitan el horario de 9 a. m. a 1 p. m. cuando los empleados están alerta y concentrados. Suelen enviar correos electrónicos maliciosos entre las 2 p. m. y las 6 p. m. cuando comienza la crisis de media tarde y los empleados se vuelven menos cautelosos.
2. 97% de los empleados No puedo reconocer correos electrónicos de phishing sofisticados
A medida que los ciberdelincuentes implementan técnicas de phishing cada vez más sofisticadas, resulta más difícil para el empleado promedio diferenciar los mensajes legítimos de los de phishing. Desafortunadamente, muchas empresas carecen de los recursos y conocimientos técnicos necesarios para educar al personal e implementar las medidas adecuadas para minimizar la exposición al riesgo.
3. Los datos médicos se encuentran entre los más buscados en estafas de phishing por correo electrónico
Ahora hay más ataques de phishing dirigidos a organizaciones sanitarias. Un estudio HIPAA descubrió que 314.063.186 registros médicos fueron expuestos o robados entre 2009 y 2021. Estos registros ricos en datos son valiosos para los delincuentes, quienes pueden explotar la información para el robo de identidad médica, el fraude de facturación y la compra de medicamentos recetados para su reventa.
4. Ha llegado el phishing de voz deepfake
Este sofisticado método de ataque de vishing utiliza IA y modelos de aprendizaje profundo para clonar voces humanas y atacar a víctimas específicas y de alto perfil. El phishing de voz deepfake es utilizado a menudo por delincuentes que entienden el funcionamiento interno de una corporación. Pueden hacerse pasar por ejecutivos o superiores para ordenar a los empleados que transfieran dinero a sus cuentas — de esta manera Robo a banco por 35 millones de dólares en Hong Kong.
5. Ejemplos alternativos de estafas de phishing: ventanas emergentes en sitios web
El phishing emergente permanece Un canal de phishing insidioso y eficaz. Los ciberdelincuentes colocan código malicioso en cuadros emergentes o utilizan la función de notificaciones de un navegador web para instalar código malicioso en los dispositivos de destino cuando los usuarios hacen clic para permitir notificaciones.
6. Manipulación de enlaces y falsificación de sitios web
Los ciberdelincuentes crean sitios web falsos hacerse pasar por auténticos y enviar correos electrónicos de phishing para que las víctimas visiten los sitios. Los sitios web falsos tienen como objetivo engañar a los empleados para que proporcionen las credenciales de la cuenta bancaria, los números de tarjetas de crédito y otra información confidencial de su empresa.
Como puede ver, los actores maliciosos tienen más de unos pocos trucos bajo la manga, por lo que detectar correos electrónicos de phishing es difícil. Examinemos los elementos del correo electrónico que proporcionan pistas adicionales.
Capítulo 2:
Cómo detectar intentos de phishing
La mayoría de los intentos de phishing tienen los mismos denominadores comunes, incluso si los delincuentes utilizan técnicas o medios diferentes. Examinemos algunas señales de alerta.
Cómo identificar un correo electrónico de phishing
El tiempo es esencial cuando se trata de prevenir un ataque de phishing. Un movimiento en falso puede significar la diferencia entre mantener la reputación de su empresa y convertirse en víctima de una violación de datos.
Sin embargo, muchas personas sobreestiman su capacidad para distinguir los correos electrónicos de phishing de los genuinos. Mientras tanto, muchas estafas de phishing utilizan técnicas de ingeniería social para incitar a las personas a actuar, explotando emociones como el miedo, la simpatía y el altruismo.
Entonces, ¿qué es un Indicador común de un intento de phishing?
Si se pregunta cómo identificar un correo electrónico de phishing, sepa que la mayoría de los correos electrónicos de phishing tienen al menos uno de estos elementos:
1. Dirección de correo electrónico incorrecta
Los ciberdelincuentes crean dominios de correo electrónico falsos que se parecen a los de organizaciones reales. Por ejemplo, al sustituir las letras “r” y “n” por la letra “m,” pueden hacer que un dominio falso parezca legítimo (por ejemplo, customersupport@walrnart.com.) Alternativamente, pueden incluir una parte del nombre de una organización legítima en un dominio falso (por ejemplo, support@microsoftsupport.com.)
2. Líneas temáticas sospechosas
Tenga cuidado con las líneas de asunto que hacen referencia genérica a servicios en línea o redes sociales e intentan generar una sensación de urgencia o miedo.
Los correos electrónicos de phishing enviados con las siguientes líneas de asunto obtienen la mayor cantidad de clics en los EE. UU.:
- Actualizaciones de cuentas de correo electrónico
- Encuesta de satisfacción con el trabajo remoto
- Reconozca su valoración
- Importante: Cambios en el código de vestimenta
- Se requiere verificación de contraseña inmediatamente
- Actualización de la política de vacaciones
Mientras tanto, lo más Líneas de asunto comunes utilizadas en correos electrónicos de phishing globalmente son:
- Twitter: Posible compromiso con la cuenta de Twitter
- Facebook: Su acceso a Facebook ha sido deshabilitado temporalmente para verificación de identidad
- RRHH: Encuesta de satisfacción con el trabajo remoto
- TI: Próximos cambios
- TI: Correos electrónicos extraños desde tu cuenta
3. Múltiples errores gramaticales y ortográficos
Si un correo electrónico contiene inconsistencias ortográficas y gramaticales junto con otras señales de alerta, lo más probable es que se trate de un intento de phishing. Una advertencia: los estafadores de hoy son menos propensos a estos errores, por lo que la ausencia de mala gramática no significa que estés a salvo.
4. Solicitudes de pago inusuales
Los phishers pueden disfrazarse de proveedores, empresas conocidas o instituciones gubernamentales y acompañar el correo electrónico de phishing con una factura de aspecto plausible para engañar a los empleados para que transfieran dinero. En caso de duda, comuníquese directamente con la organización para confirmar la legitimidad de la solicitud.
5. Saludos genéricos
Los correos electrónicos de phishing menos sofisticados a menudo comienzan con un saludo genérico, como Hola, Hola, Estimado cliente y Hola usuario. Hoy en día, la mayoría de las empresas legítimas personalizan sus correos electrónicos, por lo que considerar los saludos genéricos en el ciberespacio actual es una señal de alerta.
6. Lenguaje manipulador
Los actores maliciosos a menudo utilizan un lenguaje cargado de emociones para presionar a los objetivos a actuar. El miedo impide a las víctimas leer atentamente los mensajes de phishing para verificar su legitimidad. Las estafas a menudo utilizan frases como “haga clic ahora” o “caduca en X horas” para aumentar la urgencia y aprovechar el miedo de las personas a perderse algo.
7. Archivos adjuntos inusuales
Esté atento a los correos electrónicos que solo incluyen un archivo adjunto sin información adicional en el cuerpo del mensaje. Estos archivos adjuntos suelen ser vehículos para ocultar contenido de las soluciones de seguridad de correo electrónico y distribuir malware. Como práctica general, nunca abra un archivo adjunto de correo electrónico no solicitado.
8. Comunicación inesperada
Las organizaciones de buena reputación no solicitan datos personales ni credenciales confidenciales por correo electrónico. Cualquier correo electrónico que parezca provenir de un supervisor, gerente o colega que solicita información confidencial —especialmente redactada en lenguaje urgente— podría ser un intento de phishing.
Cómo detectar un correo electrónico de phishing: una lista de verificación
Revise esta sencilla lista de verificación de 3 pasos recomendado por la Comisión Federal de Comercio (FTC) antes de responder a una solicitud por correo electrónico:
Paso 1: Haz tu investigación
Consulte el sitio web o el número de teléfono de la organización o persona que envía el mensaje de texto o correo electrónico para asegurarse de comunicarse con una empresa legítima en lugar de con un estafador.
Paso 2: Habla con alguien
A veces, simplemente hablar con un colega puede ayudarle a tomar una mejor decisión. Por ejemplo, es posible que reciban la misma solicitud falsa o noten algo que usted pasó por alto.
Paso 3: Coge el teléfono
Llame al proveedor, colega o cliente que aparece como remitente para ver si realizó la solicitud. Utilice un número que sepa que es correcto, no el número que aparece en el correo electrónico o el texto.
Comprender cómo identificar intentos de phishing es solo el primer paso—también querrás asegurarte de haber desarrollado una estrategia de prevención de phishing.
Capítulo 3:
Medidas proactivas para la prevención del phishing
El phishing es uno de los delitos en línea más comunes y financieramente peligrosos. Las organizaciones inteligentes se mantienen a la vanguardia implementando soluciones de prevención de phishing y siguiendo las últimas mejores prácticas.
Mejores prácticas para la prevención del phishing
Así es como pueden hacerlo las pequeñas y medianas empresas Proteger sus datos y empleados del phishing y del spear phishing.
1. Amplia educación de los empleados
La prevención eficaz del phishing comienza con la educación de los empleados. Implemente un riguroso programa de educación del usuario para ayudar a su personal a identificar correos electrónicos fraudulentos y manejar mensajes sospechosos. Cultive conciencia y envíe recordatorios recurrentes para mantener la prevención del phishing en primer plano. La educación de los empleados es la mejor seguridad contra el phishing.
2. Evite las redes públicas
Las redes Wi-Fi públicas a menudo no están cifradas ni son seguras, lo que facilita que los piratas informáticos detecten información confidencial, como nombres de usuario, contraseñas y detalles financieros, si los empleados los usan para enviar y recibir correos electrónicos mientras están de viaje. En lugar de ello, deberían utilizar un dispositivo móvil con conectividad de punto de acceso si no pueden acceder a una red privada para prevenir eficazmente ataques de phishing.
3. Tenga cuidado con las ventanas emergentes para prevenir el phishing
Las ventanas emergentes pueden capturar información privada y redirigir a los usuarios a un dominio fraudulento utilizando la tecnología iFrame. Pase el cursor sobre el enlace y obtenga una vista previa de la URL antes de hacer clic en ella. Además, nunca ingrese información personal o confidencial en un sitio web desconocido.
4. Invierta en seguridad antiphishing con soluciones tecnológicas
Utilice tecnología antiphishing para respaldar las mejores prácticas de prevención de ataques de phishing. Asóciese con un proveedor de TI que pueda ayudarlo a evaluar su infraestructura actual, determinar las necesidades de seguridad e implementar la tecnología y los procesos adecuados. Estos incluyen autenticación multifactor, software antivirus, seguridad basada en la nube, salvaguardas de datos y Mejores prácticas de respaldo.
5. Complementa la capacitación en seguridad con MFA y VPN
Autenticación multifactorial (MFA) generalmente se refiere a la autenticación de dos factores (2FA), que implica el uso de contraseñas y un segundo token, como un PIN, verificación de correo electrónico o un código secundario.
La autenticación multifactor es uno de los métodos más simples y rentables para mejorar la ciberseguridad. Pero a medida que los ciberdelincuentes se vuelven más sofisticados, las empresas deben utilizar múltiples métodos de autenticación para mejorar su defensa.
Una red privada virtual (VPN) le permite cifrar el tráfico de su red para mejorar la protección y garantizar la privacidad. Agrega una capa adicional de protección, especialmente cuando los empleados lo son trabajando de forma remota y compartir información confidencial de la empresa.
6. Aplicar una sólida política de seguridad y contraseñas
Spear phishing utiliza técnicas de ingeniería social para recopilar información sobre las víctimas, incluidas sus credenciales de inicio de sesión. Como tal, una política de contraseñas sólida puede ayudarle a defenderse de los ataques. Siga las mejores prácticas sobre complejidad de contraseñas y requisitos de vencimiento, y no permita que los empleados reutilicen contraseñas antiguas agregando o cambiando algunos números al final.
Su política de ciberseguridad también debe describir medidas de seguridad del correo electrónico, un plan de continuidad del negocio, pautas de acceso remoto, un protocolo de respuesta a violaciones de datos y un plan de acción disciplinaria.
7. Cifre archivos y mantenga copias de seguridad
El cifrado protege sus archivos de actores amenazantes, mientras que las mejores prácticas de copia de seguridad y recuperación de archivos ayudan a evitar que se pierda información crítica para el negocio y garantizan la continuidad del negocio en caso de una violación. Algunos piratas informáticos utilizan ransomware que busca copias de seguridad no cifradas conectadas a una red, por lo que debería tener copias de seguridad segregadas del resto de sus sistemas.
8. Actualice su software de seguridad periódicamente
El software de seguridad es fundamental cuando se trata de lo que ayuda a protegerse del phishing selectivo. Configure su sistema para instalar automáticamente parches y actualizaciones para todos los sistemas operativos, aplicaciones y firmware, para no dejar nada vulnerable a ataques.
¿Qué tan efectivas son las soluciones antiphishing?
Ciberataques semanales globales se están disparando. Es más importante que nunca implementar soluciones y estrategias antiphishing. La mayoría de los expertos coinciden en que el software antiphishing es el mejor lugar para empezar.
Una herramienta antiphishing puede estar basada en la nube o en las instalaciones. Incluye múltiples aplicaciones que identifican contenido o datos sospechosos en sitios web, correos electrónicos, ventanas emergentes y más. Software antiphishing puede integrarse con la caja de herramientas de su navegador web y/o la bandeja de entrada de correo electrónico para filtrar sitios web fraudulentos y enlaces de phishing mientras protege su red contra malware, suplantación de identidad, spam y otras técnicas de phishing.
El software antiphishing busca enlaces nefastos o posibles descargas de malware. Luego, puede bloquear archivos sospechosos, descartar correos electrónicos maliciosos y filtrar correos electrónicos no deseados en una carpeta separada. Tal prevención del phishing El software envía advertencias a los usuarios y evita que contenido no deseado llegue a los dispositivos de sus empleados’.
¿Las soluciones antiphishing realmente protegen a las empresas?
¡Por supuesto! Una onza de prevención vale una libra de cura. El software antiphishing ayuda a defenderse de un ataque antes de que ocurra —, lo cual es mucho más efectivo que intentar recuperarse de uno.
Los correos electrónicos de phishing son el método de entrega más común ransomware, que puede causar estragos en empresas de cualquier tamaño. Según Revisión de tecnología del MITLos ataques de ransomware costaron a las empresas 7.500 millones de dólares en Estados Unidos en 2019.
Las herramientas antiphishing pueden bloquear correos electrónicos fraudulentos que utilizan los piratas informáticos phishing con lanza, incluidas técnicas que disfrazan sus direcciones de correo electrónico reales, secuestran los datos de una víctima o el sistema de una empresa y extorsionan dinero para su devolución. El software de protección contra phishing también puede proteger a las empresas de otras formas de violaciones de datos.
¿Cómo elijo las herramientas antiphishing adecuadas para mi negocio?
Las empresas actuales combinan y combinan soluciones de software diversas y complejas basadas en la nube. Entonces, ¿cómo encontrar el mejor software antiphishing para satisfacer sus necesidades?
Asociarse con profesionales de TI confiables es la mejor manera de ayudarlo a tomar la decisión correcta. Además, invierta en herramientas de seguridad de datos adicionales, como software antivirus, firewalls y cifrado de datos para cubrir tus bases. Incluso con las herramientas más confiables, existen algunas prácticas clave que se pueden implementar y que brindan protección adicional.
Las empresas que implementan las mejores prácticas y utilizan herramientas adecuadas pueden mitigar los riesgos. Aún así, es importante comprender que sus mayores riesgos provienen de sus empleados. Veamos más de cerca cómo fortalecer la capacitación en concientización sobre seguridad.
Capítulo 4:
La importancia de la formación de los empleados para la prevención del phishing
Los correos electrónicos de phishing típicos se dirigen a cientos o incluso miles de personas a la vez, y solo se necesita que un empleado haga clic en un enlace malicioso para comprometer sus sistemas y datos.
La ingeniería social está en el centro de las estafas de phishing, y la seguridad de sus datos es tan fuerte como el eslabón más débil, que a menudo es el factor humano. Sus empleados son la primera y última línea de defensa contra los ciberataques, por lo que capacitarlos para que hagan lo correcto a través de capacitación antiphishing es una de las estrategias más rentables para proteger sus datos.
Pero, ¿cómo se supone que sus empleados sabrán la diferencia entre un correo electrónico normal y un correo electrónico de phishing? Necesita formación antiphishing para los empleados.
¿Por qué las empresas deberían implementar capacitación antiphishing para sus empleados?
Cuanto más dependa su empresa de la tecnología, más importante será la capacitación adecuada de los empleados sobre concientización sobre el phishing. El software antivirus y otras soluciones técnicas solo pueden bloquear hasta cierto punto — a menudo depende de los empleados reconocer los correos electrónicos maliciosos que se cuelan. Reunir a sus tropas y construir una cultura que priorice la seguridad son la mejor protección contra el phishing que puede obtener.
¿Qué incluye un programa de capacitación en phishing?
Un programa bien orquestado debe incluir los siguientes componentes:
Comience con los conceptos básicos de la concientización sobre el phishing
Incluso los empleados con más conocimientos técnicos pueden bajar la guardia, así que no te olvides de lo básico. Explique el “por qué” del programa de capacitación en seguridad para que todos participen. Cuando los empleados comprenden el concepto y los objetivos detrás de su política de seguridad, es más probable que la capacitación se asimile.
Utilice ejemplos de correo electrónico de phishing para capacitación
Haga que su capacitación sobre phishing sea atractiva y cercana utilizando ejemplos del mundo real para ilustrar cómo funciona el phishing y cómo pueden verse los mensajes de correo electrónico fraudulentos.
Mantenga actualizada la capacitación antiphishing
Los piratas informáticos evolucionan constantemente sus kits de herramientas de phishing, por lo que debe mantener actualizada su capacitación en concientización sobre seguridad para ayudar a los empleados a reconocer las últimas técnicas. Además de una incorporación integral y una capacitación anual, envíe comunicaciones periódicas para actualizar a los empleados sobre las últimas mejores prácticas y tener la seguridad en primer lugar.
Pruebe su formación antiphishing con soluciones de terceros
Pruebe su entrenamiento de phishing periódicamente para garantizar su eficacia. Soluciones de terceros como KnowBe4 y IRONSCALES le ayuda a enviar correos electrónicos de simulación a los empleados utilizando técnicas del mundo real que utilizarían los piratas informáticos. Pero en lugar de descargar malware cuando los empleados hacen clic en los enlaces, el software los dirigirá a videos de capacitación sobre phishing.
Manténgase constante con su capacitación en phishing
Las empresas deben brindar capacitación periódica sobre concientización sobre el phishing y recordatorios regulares para mantener a los empleados al tanto de las técnicas y amenazas en constante cambio que pueden encontrar en los correos electrónicos de phishing de la vida real.
No es sólo el empleado promedio quien debe comprender estos principios. En muchos sentidos, sus ejecutivos de alto nivel pueden correr el mayor riesgo. Después de todo, ellos tienen la clave para obtener datos de alto valor.
Fraude de directores ejecutivos Phishing y riesgos cibernéticos que enfrentan los ejecutivos
El phishing fraudulento de directores ejecutivos es una técnica de phishing selectivo que apunta y manipula específicamente a los ejecutivos. Si bien su C-suite debe ser muy consciente de estas técnicas, todo su equipo también debería serlo.
En el phishing fraudulento de directores ejecutivos, los estafadores se hacen pasar por ejecutivos de alto nivel para obtener acceso a la red de una empresa y/o información confidencial. Los malos actores también pueden enviar correos electrónicos fraudulentos a los empleados que parecen ser de un ejecutivo para engañarlos y obligarlos a cambiar la información de pago de facturas para transferir dinero a sus cuentas bancarias.
Los phishers utilizan técnicas de ingeniería social para recopilar información de fuentes en línea como LinkedIn para determinar la red de empleados de una empresa. Luego, aprovechan los desencadenantes conductuales y psicológicos para aprovecharse de la tendencia de los empleados’ a actuar según las solicitudes de sus superiores sin cuestionarlos.
Los deepfakes utilizan inteligencia artificial para hacerse pasar por la imagen de una persona en un vídeo u otra forma de medio digital. Los estafadores pueden utilizar esta técnica para crear vídeos falsos de ejecutivos para sus estafas de phishing.
El phishing fraudulento de directores ejecutivos puede provocar importantes pérdidas financieras. En 2021, esta técnica condujo a Pérdidas de 2.400 millones de dólares para empresas estadounidenses, que representa un tercio de los costos totales de los delitos cibernéticos del año.
Implementación de capacitación sobre concientización sobre phishing
Diseñe un riguroso programa de educación del usuario que ayude a su personal a identificar correos electrónicos fraudulentos y proporcione orientación específica para manejar mensajes sospechosos de phishing. Además, realice intentos simulados de phishing y envíe recordatorios recurrentes para ayudar a los empleados a mantenerse alerta.
A pesar de los mejores esfuerzos de una empresa, todavía es posible ser víctima de una estafa de phishing. Para reducir las consecuencias, es prudente considerar cómo abordaría una infracción y crear un plan de respuesta.
Capítulo 5:
Responder eficazmente a un incidente de phishing
Muchos enlaces de phishing son tan sofisticados que imitan una notificación oficial, lo que dificulta discernir si ha hecho clic en un enlace de phishing. Si tiene un empleado que es víctima, su empresa puede mitigar las consecuencias siguiendo algunos pasos. Examinemos qué hacer después para solucionar el problema.
Qué hacer si hace clic en un enlace de phishing
Puede resultar abrumador considerar qué sucede si hace clic en un enlace de phishing. Pero estos pasos pueden ayudar.
Mantén la calma
Primero, no entres en pánico. Verifique si hay señales de alerta y señales reveladoras analizadas anteriormente para ver si el correo electrónico es realmente malicioso. Luego, determine si el hacker podría haber robado sus datos, instalado malware o accedido a su red.
Contiene el ataque de phishing
Desconecte su dispositivo de Internet y de todas las demás redes para evitar que el malware se propague a dispositivos sincronizados. Luego, ejecute un análisis de virus, elimine cualquier malware detectado y restablezca las contraseñas comprometidas.
Informar sobre el ataque de phishing
Comprenda cómo informar un problema para asegurarse de que su empresa tome las medidas adecuadas.
- Reenvíe el correo electrónico al departamento de TI, al equipo de seguridad o al proveedor de servicios administrados (MSP) de su empresa
- Reenvíe el correo electrónico al Grupo de trabajo antiphishing (phishing-report@us-cert.gov), que recopila correos electrónicos de phishing y ubicaciones de sitios web.
- Si el correo electrónico parece provenir de un colega o contacto externo, avise a esa persona para que pueda contener el daño.
- Si datos confidenciales se han visto comprometidos, notifique a las partes afectadas para que puedan tomar medidas inmediatas.
- Marque el correo electrónico como un intento de phishing con su cliente de correo electrónico para ayudar a evitar que más correos electrónicos de phishing de la misma fuente lleguen a su bandeja de entrada. Seguir Estas instrucciones de Outlook para denunciar correos electrónicos de phishing.
Alerta a tus empleados
Informe a todos los empleados sobre el intento de phishing, especialmente si el estafador se hizo pasar por alguien dentro de su empresa. Si el remitente se disfrazó de sus clientes o proveedores, infórmeles para que puedan alertar a su personal y socios. Esto puede evitar que caigan en la misma estafa.
Con una respuesta oportuna y bien planificada, su empresa puede ayudar a reducir los efectos de ser víctima de una estafa de phishing. ¿Por qué es esto tan importante? El costo de un ataque de phishing se extiende mucho más allá de las ramificaciones financieras—exploremos qué sucede después de un ciberataque.
Capítulo 6:
Consecuencias de un ataque de phishing exitoso
Las empresas deben dedicar una cantidad sustancial de tiempo, recursos humanos y experiencia técnica para responder, resolver, informar y remediar las consecuencias de un ciberataque.
¿Cuál es el costo real de un ataque de phishing?
Pérdidas financieras
Además de los fondos robados, debe considerar el impacto financiero de los pagos de ransomware, los costos de respuesta a infracciones y la pérdida de productividad de los empleados. También puede incurrir en gastos indirectos asociados con investigaciones, notificaciones, multas regulatorias, prolongación del centro de la ciudad, campañas de relaciones públicas, asesoramiento legal, pérdida de negocios y más.
Costo de respuesta y remediación
Después de una estafa de phishing, las empresas deben desviar tiempo y recursos para determinar el alcance del ataque, realizar investigaciones forenses, organizar una respuesta al incidente e iniciar planes de continuidad del negocio y ejecutar procedimientos de relaciones públicas. También necesitan enviar notificaciones a las personas afectadas, interactuar con las agencias reguladoras y defenderse de posibles demandas.
Pérdidas de productividad
Los recursos necesarios para remediar los ataques de phishing inevitablemente afectan la productividad de los empleados. De hecho, organizaciones con una media de 9.567 empleados perdió 65.343 horas de trabajo productivo horas al año para estafas de phishing. El Estudio sobre el costo del phishing en 2021 encontró que la pérdida de horas productivas le costó a las organizaciones $3,2 millones en 2021.
Daño a la reputación
El daño a la reputación es uno de los costos más impactantes y potencialmente irreparables de un ataque de phishing. Puede afectar el valor de una empresa y al mismo tiempo provocar un cambio en el sentimiento del mercado y la confianza de los inversores. A Estudio de investigación de Verizon descubrió que las organizaciones experimentan una caída del 5% en el precio de las acciones dentro de los seis meses posteriores a una infracción.
El daño a su reputación también puede resultar en la pérdida de afinidad comercial y de marca. Es menos probable que los clientes potenciales confíen y compren en empresas que han sufrido un ataque de phishing o una violación de datos.
Aumentos en las primas de seguros de responsabilidad cibernética
Pagos por ransomware, fraude de transferencia bancaria/BEC, malware, recolección de credenciales y acciones legales creadas ratios de pérdidas directas que oscilan entre el 73% y el 114,1% para aseguradoras. Un historial de ataques de phishing puede resultar en un aumento en seguro de responsabilidad cibernética primas, lo que a veces hace imposible que una empresa obtenga cobertura a un costo razonable.
Recuperándose de una estafa de phishing
Si bien los costos de un ataque de phishing son significativos, se pueden tomar medidas para mitigar los impactos negativos de una catástrofe.
Implementar un protocolo de respuesta a incidentes después de una violación de seguridad puede ayudar a proteger sus sistemas y su red. También puedes detener el ataque en su trayectoria para minimizar daños adicionales. Su empresa debe promulgar un plan de respuesta que describa los procedimientos para la identificación, contención y remediación de ataques.
Elementos de un plan de respuesta a incidentes de seguridad:
- Desconecte todas las redes, dispositivos y puntos finales de Internet para evitar que el malware se propague.
- Aconseje a todas las personas afectadas que configuren congelaciones de crédito y alertas de fraude para evitar el robo de identidad.
- Aborde las vulnerabilidades y proteja los sistemas de TI y los activos digitales con medidas como protocolos de contraseña sólidos y MFA.
- Implemente un equipo de respuesta a violaciones para evitar pérdidas de datos adicionales con medidas proactivas.
- Enviar notificaciones de incumplimiento a las partes y autoridades pertinentes, incluidas las fuerzas del orden, los empleados afectados, los clientes, las organizaciones y los proveedores externos.
- Contrate a un asesor legal independiente con seguridad de datos y experiencia legal para navegar por las leyes estatales y federales.
Trabajar con un equipo de informática forense
Un equipo forense independiente puede ayudarle a identificar el alcance y la fuente de una violación de la ciberseguridad. Aunque deberías tomar todos los sistemas, redes y puntos finales
desconectados después de una estafa de phishing exitosa, no los apague hasta que llegue el equipo forense.
Los investigadores analizarán los datos preservados y revisarán los registros del sistema para determinar quién tuvo acceso a datos confidenciales, verificar la información comprometida, comprender el alcance de la violación, restringir el acceso a su red si es necesario y preparar informes forenses con medidas correctivas.
Como puedes ver, responder al phishing es complejo. Es por eso que muchas empresas solicitan ayuda adicional para asegurarse de que su programa de ciberseguridad esté a la altura del desafío.
Capítulo 7:
Trabajar con una empresa de ciberseguridad para protegerse contra el phishing
Es cada vez más difícil proteger contra el phishing, especialmente frente a amenazas cibernéticas de phishing cada vez más sofisticadas. La mayoría de los equipos de TI internos no tienen la experiencia ni los recursos para cubrir todas las bases. Una empresa de consultoría de ciberseguridad de buena reputación puede ayudarlo a mitigar las amenazas de ciberseguridad y protegerse contra ellas Estafas de phishing.
Cómo una empresa de consultoría en ciberseguridad ayuda a protegerse contra el phishing
La mayoría de los equipos de TI internos ya están sobrecargados, tratando de mantenerse al día con los últimos cambios en el panorama tecnológico. También es difícil obtener la experiencia adecuada y los recursos suficientes para mantenerse actualizado con las actualizaciones de seguridad y las estrictas leyes de privacidad de datos. Trabajar con una empresa de ciberseguridad puede ayudarle a navegar por el complejo panorama de la seguridad de estas maneras:
- La experiencia especializada y los servicios de consulta de phishing le ayudan a llenar los vacíos de habilidades y mantenerse a la vanguardia de las amenazas cambiantes Nuevas técnicas de phishing.
- Las configuraciones de seguridad personalizadas basadas en sus necesidades limitan la exposición de datos comerciales, incluso si un hacker logra robar las credenciales de un empleado.
- Un plan integral de copia de seguridad y recuperación minimiza el impacto de la pérdida de datos y el tiempo de inactividad.
- Un centro de operaciones de seguridad monitorea las actividades de su red las 24 horas del día, los 7 días de la semana y aísla un ataque para contener el daño.
- El soporte de auditoría regulatoria proporciona documentación para ayudarlo defenderse de posibles demandas si su empresa es atacada.
- La capacitación de los empleados ayuda a todos los miembros del personal a cumplir con su política de seguridad y comprenderla cómo prevenir estafas de phishing por correo electrónico.
Con tantas cosas a considerar, es útil comprender cómo evaluar una empresa de ciberseguridad. Comience con una consulta sobre los servicios que ofrecen para ver qué tan bien alineado está su enfoque con las necesidades de su negocio.
Cómo elegir una empresa de ciberseguridad que le ayude con su defensa contra el phishing
Hay muchos beneficios en fortalecer su defensa contra el phishing trabajando con una empresa de ciberseguridad. ¿Pero cómo elegir uno que sea adecuado para su negocio?
Las mejores empresas de ciberseguridad utilizan estrategias de defensa contra el phishing que abarcan personas, procesos y tecnología. Su proveedor de servicios administrados (MSP) o proveedor de servicios de seguridad administrados (MSSP) debe tener las capacidades para ayudarlo a implementar las siguientes mejores prácticas para protegerse contra el phishing.
1. Pruebas de vulnerabilidad
Su empresa de ciberseguridad debe realizar una prueba de vulnerabilidad exhaustiva para comprender su postura de seguridad e identificar las principales preocupaciones de seguridad para ayudarlo a priorizar las acciones de remediación.
2. Controles técnicos
Asóciese con una empresa que pueda ayudarlo a implementar el hardware y el software adecuados para proteger su infraestructura contra ciberataques. Estos incluyen firewalls, sistemas de detección de intrusiones (IDS), tecnologías de gestión de identidad y acceso (IAM), software de detección y respuesta de phishing, etc.
3. Controles internos de procesos
Debe implementar procesos y procedimientos internos rigurosos basados en un marco reconocido (por ejemplo, NIST-800, SOC 2) y regulaciones industriales relevantes (por ejemplo, PCI-DSS, HIPAA) para prevenir ataques y garantizar el cumplimiento.
4. Prueba de penetración (prueba Pen)
Su empresa de ciberseguridad debe realizar un ataque simulado autorizado a la infraestructura de TI de su organización para comprender hasta qué punto un actor de amenazas podría penetrar sus medidas de seguridad actuales y a qué datos puede acceder.
5. Debida diligencia de terceros
Evalúe a partes externas en su ecosistema y cadena de suministro con acceso a sus sistemas, procesos y datos de clientes. Los conocimientos pueden ayudarle a tomar decisiones informadas al seleccionar proveedores, proveedores, socios y contratistas.
6. Prueba de simulación de phishing
Una prueba de simulación de phishing demuestra cómo responden sus empleados a los esquemas de ingeniería social. Su MSSP puede mostrarle cómo prevenir phishing con lanza y ataques de phishing basados en los resultados.
7. Política de uso del correo electrónico
An Política de uso del correo electrónico Puede fortalecer su defensa contra el phishing y minimizar los riesgos de violaciones de datos. Elija un MSSP que pueda ayudarlo a elaborar o actualizar sus pautas e implementar las tecnologías adecuadas para hacer cumplir la política.
8. Capacitación en seguridad del usuario final
Su empresa de ciberseguridad debería ayudarle a implementar un programa de formación de empleados y proporcionar consultas de phishing. Además de la incorporación y los eventos de capacitación anuales, debe educar a los empleados sobre los procedimientos de gobernanza, las demandas regulatorias y las tendencias de la industria para construir una cultura empresarial que priorice la seguridad.
9. Seguridad de aplicaciones web y en la nube
A medida que más empresas adoptan plataformas en la nube, las empresas de ciberseguridad deben considerar la seguridad en la nube para proteger todos los datos críticos. Por ejemplo, debería ayudarle a configurar la gestión de acceso, proteger las conexiones API, implementar MFA y garantizar que todos los datos estén cifrados en reposo, en uso y en tránsito.
10. Plan de respaldo y recuperación
Elija un MSSP con experiencia en la implementación de planes integrales de respaldo y recuperación para ayudarlo a garantizar la continuidad del negocio y mantenerse operativo incluso si ocurre una infracción.
11. Monitoreo y soporte confiables
Su MSSP debe monitorear continuamente las amenazas y actividades en su red. También debe tener un proceso de escalada bien definido para abordar todas las alertas y notificaciones con prontitud.
Capítulo 8:
Conclusión
La ciberseguridad y la prevención del phishing requieren conocimientos y experiencia especializados en el complejo entorno empresarial digital actual.
Asociarse con una empresa de consultoría de ciberseguridad de buena reputación puede ayudar a garantizar que su negocio funcione sin problemas y evitar el alto costo de los ataques de phishing.
Warren Averett Technology Group ofrece una variedad de servicios de TI que incluyen cumplimiento y evaluaciones, ciberseguridad, servicios de remediación de TI, software empresarial, infraestructura de sistemas, personal de TI y soporte técnico para cubrir todas sus bases.
Permítanos ayudarle a mejorar la ciberseguridad de su empresa y protegerla contra el phishing. Obtenga una consulta gratuita para acceder a asesoramiento personalizado en función de la situación de su empresa y ver cómo puede minimizar las vulnerabilidades de su organización.