Por: ,
04/20/2022
En la actualidad, más del 90% de los ataques cibernéticos a organizaciones empiezan no por un ataque directo a sus sistemas, sino por ataques de ingeniería social. Estos ataques inducen a los empleados a errores y a realizar acciones que, muchas veces sin darse cuenta, terminan facilitando el acceso a los atacantes. Un fuerte, por más blindado que esté, será accesible si es que el que tiene la llave la entrega al enemigo.
Una de las técnicas de manipulación más comunes de la ingeniería social es el phishing. Esta práctica es usada por los ciberdelincuentes para obtener información confidencial de los usuarios (contraseñas o información financiera), haciéndose pasar por una fuente conocida o confiable, interna o externa, a la organización. La palabra proviene de fishing (pesca en inglés), ya que, mediante una carnada, el estafador busca acceder de manera ilegal sus dispositivos móviles, suplantar su identidad y hasta sustraer dinero de las cuentas bancarias, de sus víctimas.
Según el estudio realizado por Marsh y Microsoft sobre El Estado del riesgo cibernético en Latinoamérica en tiempos de COVID-19, 31% de los encuestados percibió un incremento en los ciberataques, siendo la principal amenaza los eventos de phishing. De acuerdo a esta realidad es más necesario que nunca, que las empresas adopten estrategias de prevención, creando una cultura de ciberseguridad y capacitando a sus empleados en su detección temprana.
Un ataque de phishing se puede llevar acabo también a través de mensajes de texto (smishing) o llamadas telefónicas (vishing). Sin embrago, la forma más común de este tipo de ataques es vía correo electrónico, ya que es la manera más indicada de apuntar a un público mayor, y también es más difícil de detectar.
Cuando el phishing está dirigido a personas, organizaciones o empresas específicas, se le denomina spear phishing (suplantación de identidad). Este tipo de ciberataque es mucho más orientado y es más sofisticado que el phishing tradicional. Esta práctica es engañosamente persuasiva, ya que está personalizada a la medida del receptor o víctima potencial, utilizando contenido, vínculos, archivos o información legítima de empleados o de la organización.
La forma más efectiva de evitar un intento de phishing es identificándolo rápidamente. Por lo general el ciberataque tipo phishing reúne ciertas características que nos ayudan a darnos cuenta que se trata de un fraude:
Con el incremento en la frecuencia, criticidad y sofisticación de los ataques cibernéticos, ya no basta la contención a través de soluciones de ciberseguridad. Es importante capacitar a todos los miembros de la organización, enseñarles a estar alerta, a detectar a tiempo un intento de phishing, reportar posibles ataques y mantener una estructura definida de respuesta.