10 mejores prácticas contra el phishing que necesita en su empresa

por | febrero 3, 2022 | Cómo hacerlo, Guías del ATTACK Simulator

Con los datos más recientes que pintan un panorama sombrío de phishing tanto para los individuos como para las organizaciones, nadie quiere convertirse en víctima de un ataque de este tipo. El phishing es un negocio lucrativo y no va a desaparecer pronto, pero usted está en buenas manos.

Hemos elaborado una lista con las diez mejores prácticas antiphishing que necesita tanto en su día a día como en su empresa.

Las prácticas antiphishing pueden salvar a su empresa de un ataque de phishing muy caro.

¿Qué es el phishing?

El phishing es un ciberataque en el que los ciberdelincuentes se presentan como una entidad o persona de confianza, utilizando diversas vías de comunicación online para distribuir enlaces o archivos adjuntos maliciosos que pueden realizar diversas funciones, pero con un único fin: robar los datos de la víctima para obtener un beneficio económico.

Este tipo de fraude en línea utiliza sutiles y sorprendentes estrategias de ingeniería social que permiten a los ciberdelincuentes, que aprovechan la confianza de las personas, robar los datos sensibles de la víctima, lo que resulta mucho más fácil que traspasar las defensas de un ordenador o de una red.

10 mejores prácticas fundamentales contra el phishing

Las estafas por phishing han existido desde los inicios del Internet y con el tiempo se han vuelto más sofisticadas y perjudiciales. Afortunadamente, hay formas de evitar que usted o sus empleados se conviertan en víctimas. He aquí diez normas básicas que le ayudarán a combatir el phishing:

1. Mantenerse informado sobre las técnicas de phishing

Los phishers desarrollan nuevas fraudes todo el tiempo. Así que manténgase atento a las noticias y artículos sobre las últimas técnicas de phishing para evitar ser víctima de alguna. Además, debe asegurarse que sus empleados son educados para hacer lo mismo, con el fin de lograr una cultura empresarial más orientada a la seguridad.

Usted se puede situar a sí mismo y a su empresa en una posición de riesgo mucho más baja respecto a un ataque de phishing exitoso si hace algunas revisiones. Además, se recomienda especialmente la formación en materia de seguridad y los simulacros de phishing para todos los usuarios.

2. Piensar dos veces antes de hacer clic

No hay problema si se pulsa en los enlaces cuando se trata de sitios legítimos y de confianza. Pero pinchar en enlaces de correos electrónicos y mensajes instantáneos al azar es definitivamente un no-no. Lo mejor sería que pasar el ratón por encima de las URLs antes de hacer clic en ellas. Es posible que descubra que no conducen a donde se supone que deben hacerlo.

Un correo electrónico de phishing suele decir que es de una empresa auténtica y puede pedirle que rellene algunos datos sensibles. La mayoría de los correos electrónicos de phishing comienzan con un «Estimado cliente» genérico, así que tenga cuidado con ellos. Si tiene la más mínima duda sobre un correo electrónico, debe ir directamente a la fuente y comprobar con la empresa suplantada en lugar de hacer clic en un enlace potencialmente envenenado.

3. Instalar una barra de herramientas antiphishing

Se puede personalizar el navegador web con una barra de herramientas antiphishing, que ejecuta pruebas rápidas en los sitios a los que se accede y los compara con listas de sitios de phishing conocidos. Si entra en un sitio web malicioso, la barra de herramientas antiphishing le advertirá de ello. Y la mejor noticia es que se puede encontrar este tipo de software de forma gratuita.

4. Verificar la seguridad de un sitio web

Antes de enviar cualquier información sensible a un sitio web, asegúrese de que su URL comienza con «https» y debería ver un icono de candado cerrado cerca de la barra de direcciones. Además, verifique el certificado de seguridad del sitio. Si recibe un aviso de que puede contener archivos maliciosos, no abra el sitio web. Por muy tentador que sea, nunca descargue archivos de correos electrónicos ni de sitios web sospechosos.

Incluso los motores de búsqueda pueden mostrar ciertos enlaces que conducen a páginas web de phishing con productos o servicios de bajo coste a la venta. Si realiza una compra en este tipo de sitios web, los datos de su tarjeta de crédito serán extraídos por los ciberdelincuentes.

5. Comprobar sus cuentas regularmente

Si el usuario no se conecta a una cuenta en línea durante algún tiempo, alguien podría explotarla sin su conocimiento. Aunque no lo necesita, acostúmbrese a comprobar regularmente cada una de sus cuentas en línea. Además, cambie sus contraseñas con regularidad. Por último, compruebe sus informes con frecuencia para evitar las estafas de phishing bancario y de tarjetas de crédito.

6. Mantener el navegador actualizado

Las actualizaciones de los navegadores más populares incluyen parches de seguridad. Estas se publican para resolver las lagunas de seguridad que los ciberdelincuentes descubren y aprovechan. Así que nunca ignore los mensajes sobre la actualización de sus navegadores. Cuando haya una actualización disponible, descárguela e instálela.

7. Habilitar los cortafuegos

Los cortafuegos de alta calidad le protegerán de los intrusos malintencionados. Debería plantearse utilizar dos tipos diferentes: un cortafuegos de escritorio y un cortafuegos de red. Cuando se combinan, reducen drásticamente el riesgo de que los hackers se infiltren en su ordenador o red.

8. Ser prudente con las ventanas emergentes

Las ventanas emergentes suelen camuflarse como componentes legítimos de un sitio de confianza. Son muy molestos, pero pueden ser realmente peligrosos. Los phishers pueden utilizarlos para robar sus datos. Muchos navegadores populares permiten bloquear los anuncios. Si todavía alguno se cuela, no piense en hacer clic en el botón «cancelar», ya que en realidad puede llevarle a un sitio web malicioso. En cambio, debe hacer clic en la pequeña «x» de la esquina superior de la ventana intrusiva.

9. No facilitar información personal

Como principio, no se debe compartir información personal, financiera o relacionada con la empresa a través de Internet a menos que se sepa con certeza que es con la persona/organización adecuada.

En caso de duda, acceda al sitio web principal de la empresa en cuestión, consiga su número de teléfono y llámeles. La mayoría de los correos electrónicos de phishing le dirigirán a páginas en las que se le pedirá que rellene su información financiera o personal. Lo mejor sería que nunca introdujera datos confidenciales a través de las URLs proporcionadas en los correos electrónicos. Nunca se debe enviar un correo electrónico con datos sensibles a nadie. Acostúmbrese a comprobar la dirección del sitio web. Un sitio web seguro siempre empieza por «https».

10. Utilizar un programa antivirus

Un programa antivirus eficaz le protegerá contra los peligros que abundan en Internet. Desde los virus cada vez más complejos, que se abren paso pacientemente a través de sus archivos, hasta los ataques de red, el software antivirus que utilice debe ofrecer soluciones adecuadas para cualquiera de estos problemas.

Sin embargo, tanto si elige un antivirus complejo como uno básico, nunca debe confiar únicamente en él. La concienciación sobre la ciberseguridad es un factor crucial para proteger sus datos y dispositivos. Sería aconsejable que aprendiera a detectar posibles ataques de phishing, programas que parecen sospechosos y pueden ser maliciosos, y otras amenazas. Como se dice, más vale prevenir que curar.

El programa de formación de concienciación sobre la seguridad de ATTACK Simulator le ayudará a enriquecer los conocimientos de ciberseguridad de sus empleados con las mejores prácticas de seguridad actualizadas para mantener su empresa a salvo de los estafadores y evitar daños potencialmente irreparables.

¿Piensa que sus empleados están preparados para un ataque de phishing? Póngalos a prueba con nuestro test gratuito de formación en materia de seguridad y descubra cómo lo harían.

Atribución:

Iconos realizados por Freepik en www.flaticon.com

Ilustraciones web de Storyset

Ilustraciones en línea de Storyset

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.