Empresas, Seguridad Informática
Seguridad Digital Tenerife | Phishing: clic a lo desconocido
Bienvenido/a a este nuevo artículo de Elantia, empresa de Seguridad Digital en Tenerife. En el articulo de hoy trataremos un tema que afecta a numerosas PYMES. Como bien indica el título, sobre Phishing.
Definición
El phishing es una práctica de ciberdelincuencia cuyo fin es robar cuentas, contraseñas y otros datos, o incluso infectar los dispositivos con malware. Para ello, se inicia un ataque enviando a la víctima una comunicación en la que, suplantando a una entidad conocida, le piden que haga clic en un enlace, descargue un fichero o envíe información sensible.
El phishing usa ingeniería social, que significa que se usan y manipulan datos legítimos para engañarnos, como nuestro nombre, gustos, marcas de plataformas que usamos… etc. Esto hace que siga siendo una de las más efectivas herramientas para robar información.
¿Como preparar a la empresa para hacerle frente?
1. Instalar un Endpoint con antiphishing para correo y páginas web. Además de mantenerlo actualizado con las firmas al día y activado.
2. Actualizar el software a las últimas versiones. Estos ataques se aprovechan de fallos de vulnerabilidad de los sistemas.
3. Proteger tu web para impedir que sea objeto de suplantación.
4. Formar y concienciar a los empleados. El factor humano suele ser el eslabón más débil cuando se trata de seguridad, por ello deben estar preparados para no ser víctimas de estos ataques. Una herramienta novedosa y muy eficaz es Attack Simulator.
¿Cómo se puede evitar caer en el phishing?
1. Pensar antes de hacer clic
Solo porque esté usando un antivirus o algún software de seguridad no implica que estés libre de riesgos al hacer clic. Dichos programas no son capaces de detectar todo el código malicioso. Y por supuesto, ningún investigador de seguridad o desarrollador respetable te asegurará que así sea.
2. Cuidado con los remitentes.
No confíe en archivos que no ha solicitado ni en links embebidos, incluso si pertenecen a amigos. Es fácil falsificar un correo haciendo que parezca que quien lo envía es un conocido. Además, no todos los protocolos de envío de mensajes validan la dirección de quien envía el mensaje.
3. No todo lo que reluce es oro
Existen infinitas formas de disfrazar un enlace, ya sea a través de correo, chat o páginas web. Es por ello que los desarrolladores de páginas web han de simplificarlas para que los enlaces sean mas fáciles de detectar.
Un consejo es colocar el ratón encima del link para que aparezca el real. Copiarlo al portapapeles y comprobarlo con la herramienta de VirusTotal.
4. Dudar de todo lo corto
Una técnica común que se utiliza para ocultar la dirección de un enlace, es utilizar servicios que las acortan como TinyURL y Bit.ly. Esto generalmente se utiliza en sitios como Twitter donde los caracteres son limitados. Sin embargo, se aprovechan de esta situación para realizar spam de tweets que llevan a sitios que no son de confianza.
5. Que sea conveniente no significa que sea seguro
¿Alguna vez ha recibido un mensaje recordándote que tu contraseña está apunto de caducar? o ¿Informándote para que confirme la asistencia a una reunión urgente? Esto son cebos que se usan en ataques personalizados. Son técnicas de ingeniería social que al conocer alguno de tus datos les permiten realizar ataques más peligrosos.
6. Verifica donde te encuentras
Si has entrado en una página donde te piden iniciar sesión, compruebe su identidad: consulta los datos del certificado de la página web en el candado de la barra de navegación. Además verifica que usa https://.
7. Leer y comprender la política de privacidad y aviso legal
Hay que evitar introducir tu correo u otros datos sensibles en una web o formulario sin leerlas, ya que se podría estar cediendo los datos a terceros sin el consentimiento y terminen en manos de ciberdelincuentes.
8. Ojo con los archivos descargados
Tras descargar un fichero no haga clic en “habilitar el contenido” si no confía en la fuente de dónde procede. No te fíes, ya que al hacer clic, podría iniciarse la descarga o ejecución del malware.
9. Si aún tienes dudas, comprueba.
Si no estás seguro de la veracidad de un mensaje, ponte en contacto con la otra persona o entidad por otro canal para confirmar que la comunicación es verídica antes de contestar o hacerle caso.
10. Si todo falla…
A la menor sospecha, cuelgue esa llamada que le está pidiendo los datos o borre el mensaje inmediatamente según el caso. Más vale cortar la comunicación y retomarla en otro momento, que caer en un ataque por no ir con precaución.
Elantia, empresa de Seguridad Digital en Tenerife
Elantia, empresa de Seguridad Digital en Tenerife