Con los datos más recientes que pintan un panorama sombrío de phishing tanto para los individuos como para las organizaciones, nadie quiere convertirse en víctima de un ataque de este tipo. El phishing es un negocio lucrativo y no va a desaparecer pronto, pero usted está en buenas manos.
Hemos elaborado una lista de las diez mejores prácticas antiphishing que se necesitan tanto en la vida diaria como en el empresarial.
¿Qué es el phishing?
El phishing es un ciberataque en el que los ciberdelincuentes se presentan como una entidad o persona de confianza, utilizando diversas vías de comunicación online para distribuir enlaces o archivos adjuntos maliciosos que pueden realizar varias funciones, pero con un solo objetivo: robar los datos de la víctima para obtener un beneficio financiero.
Este tipo de fraude en línea utiliza sutiles y sorprendentes estrategias de ingeniería social que permiten a los ciberdelincuentes, que aprovechan la confianza de las personas, robar los datos sensibles de la víctima, lo que resulta mucho más fácil que traspasar las defensas de un ordenador o de una red.
10 mejores prácticas fundamentales contra el phishing
Las estafas por phishing han existido desde los inicios del Internet y con el tiempo se han vuelto más sofisticadas y perjudiciales. Afortunadamente, hay formas de evitar que usted o sus empleados se conviertan en víctimas. Aquí tenéis diez normas básicas para ayudaros a combatir el phishing.
1. Mantenerse informado sobre las técnicas de phishing
Los phishers desarrollan nuevas fraudes todo el tiempo. Así que manténgase atento a las noticias y artículos sobre las últimas técnicas de phishing para evitar ser víctima de alguna. Además, debe asegurarse que sus empleados son educados para hacer lo mismo, con el fin de lograr una cultura empresarial más orientada a la seguridad.
Usted se puede situar a sí mismo y a su empresa en una posición de riesgo mucho más baja respecto a un ataque de phishing exitoso si hace algunas revisiones. Además, se recomienda especialmente la formación en materia de seguridad y los simulaciones de phishing para todos los usuarios.
2. Pensar dos veces antes de hacer clic
No hay ningún problema si se pulsa en los enlaces cuando se trata de sitios legítimos y de confianza. Pero pinchar en enlaces de correos electrónicos y mensajes instantáneos al azar es definitivamente un no-no. Lo mejor sería que pasar el ratón por encima de las URLs antes de hacer clic en ellas. Es posible que descubra que no conducen a donde se supone que deben hacerlo.
Normalmente, un correo electrónico de fishing reclamará que es de una empresa auténtica, y puede pedirle algunos datos confidenciales. La mayoría de los correos electrónicos de phishing comienzan con un «Estimado cliente» genérico, así que tenga cuidado con ellos. Si tiene la más mínima duda sobre un correo electrónico, debe ir directamente a la fuente y comprobar con la empresa suplantada en lugar de hacer clic en un enlace potencialmente envenenado.
3. Instalar una barra de herramientas antiphishing
Se puede personalizar el navegador web con una barra de herramientas antiphishing, que ejecuta pruebas rápidas en los sitios a los que se accede y los compara con listas de sitios de phishing conocidos. Si entra en un sitio web malicioso, la barra de herramientas antiphishing le advertirá de ello. Y la mejor noticia es que se puede encontrar este tipo de software de forma gratuita.
4. Verificar la seguridad de un sitio web
Antes de enviar cualquier información sensible a un sitio web, asegúrese de que su URL comienza con «https» y debería ver un icono de candado cerrado cerca de la barra de direcciones. Además, verifique el certificado de seguridad del sitio. Si recibe un aviso de que puede contener archivos maliciosos, no abra el sitio web. Por muy tentador que sea, nunca descargue archivos de correos electrónicos ni de sitios web sospechosos.
Incluso los motores de búsqueda pueden mostrar ciertos enlaces que conducen a páginas web de phishing con productos o servicios de bajo coste a la venta. Si realiza una compra en este tipo de sitios web, los datos de su tarjeta de crédito serán extraídos por los ciberdelincuentes.
5. Comprobar sus cuentas regularmente
Si el usuario no se conecta a una cuenta en línea durante algún tiempo, alguien podría explotarla sin su conocimiento. Aunque no lo necesita, acostúmbrese a comprobar regularmente cada una de sus cuentas en línea. Además, cambie sus contraseñas con regularidad. Por último, compruebe sus informes con frecuencia para evitar las estafas de phishing bancario y de tarjetas de crédito.
6. Mantener el navegador actualizado
Las actualizaciones de los navegadores más populares incluyen parches de seguridad. Se publican para resolver las lagunas de seguridad que los ciberdelincuentes descubren y aprovechan. Así que nunca ignore los mensajes sobre la actualización de sus navegadores. Cuando haya una actualización disponible, descárguela e instálela.
7. Habilitar los cortafuegos
Los cortafuegos de alta calidad le protegerán de los intrusos malintencionados. Debería plantearse a utilizar dos tipos diferentes: un cortafuegos de escritorio y un cortafuegos de red. Cuando se combinan, reducen drásticamente el riesgo de que los hackers se infiltren en su ordenador o red.
8. Ser prudente con las ventanas emergentes
Las ventanas emergentes suelen camuflarse como componentes legítimos de un sitio de confianza. Son muy molestos, pero pueden ser realmente peligrosos. Los phishers pueden utilizarlos para robar sus datos. Muchos navegadores populares permiten bloquear los anuncios. Si todavía alguno se cuela, no piense en hacer clic en el botón «cancelar», ya que en realidad puede llevarle a un sitio web malicioso. En cambio, debe hacer clic en la pequeña «x» de la esquina superior de la ventana intrusiva.
9. Do Not Give Away Personal Information
Como principio, no se debe compartir información personal, financiera o relacionada con la empresa a través de Internet a menos que se sepa con certeza que se hace con la persona/organización adecuada.
En caso de duda, acceda al sitio web principal de la empresa en cuestión, consiga su número de teléfono y llámeles. La mayoría de los correos electrónicos de phishing le dirigirán a páginas en las que se le pedirá que rellene su información financiera o personal. Lo mejor sería que nunca introdujera datos confidenciales a través de las URLs proporcionadas en los correos electrónicos. Nunca se debe enviar un correo electrónico con datos sensibles a nadie. Acostúmbrese a comprobar la dirección del sitio web. Un sitio web seguro siempre empieza por «https».
10. Utilizar un programa antivirus
Un programa antivirus eficaz le protegerá contra los peligros que abundan por Internet. Desde que los virus, cada vez más complejos, se abren paso lentamente, a través de los ataques de red, hasta los archivos, el software antivirus que usted utiliza debe proporcionar soluciones adecuadas para cualquiera de estos problemas.
Sin embargo, tanto si elige un antivirus complejo como uno básico, nunca debe confiar únicamente en él. La concienciación sobre la ciberseguridad es un factor crucial para proteger sus datos y dispositivos. Sería aconsejable que aprendiera a detectar posibles ataques de phishing, programas que parecen sospechosos y pueden ser maliciosos, y otras amenazas. Como se dice, más vale prevenir que curar.
El programa de formación de concienciación sobre la seguridad de ATTACK Simulator le ayudará a enriquecer los conocimientos de ciberseguridad de sus empleados con las mejores prácticas de seguridad actualizadas para mantener su empresa a salvo de los estafadores y evitar daños potencialmente irreparables.
¿Piensa que sus empleados están preparados para un ataque de phishing? Póngalos a prueba con nuestro test gratuito de formación en materia de seguridad y descubra cómo lo harían.
Atribución:
Imagen destacada: Iconos realizados por Freepik de www.flaticon.com
