Los mensajes de phishing son un producto de ingeniería social compartido por medio de canales digitales (como correos electrónicos), pero también por medio de mensajes de texto, conversaciones de chat privadas y similares. Según Phishlab, en el 2019 el aumento de los mensajes de phishing alcanzó el 40% en comparación con el año 2018, y un 21% solo durante la segunda mitad del 2019.
Además del incremento en la frecuencia de estos ataques, también debemos tener presente que la sofisticación y precisión de estos ataques crece sustancialmente. En los últimos años, un gran número de pequeñas y medianas empresas han sido el objetivo de este tipo de ataque cibernético. Es probable que esta tendencia siga existiendo en el futuro, pero ¿qué pueden hacer los usuarios para protegerse de forma adecuada? A continuación, compartiremos unos pasos a tomar para comenzar con tu proceso de preparación sin necesidad de grandes inversiones financieras.
Recuerda: si es muy bueno para ser verdad, probablemente se trate de una estafa.
Una oferta para un viaje intercontinental por tan solo 1 euro o la oportunidad de comprar tu carro favorito en cuotas sin intereses son propuestas demasiado buenas para ser ciertas. Y en efecto no son ciertas. Por supuesto, es posible que grandes empresas organicen competencias o sorteos por el estilo. Para saber si se trata de una oferta legítima revisa el remitente del mensaje, asegúrate de que se trate de alguien oficial y no de un intento para extraer información. Y, ¿cómo puedo ver de quién se trata? Es muy fácil, primero piensa si has participado de un concurso o sorteo organizado por la compañía en cuestión. Luego, revisa el sitio web del organizador y lee detalladamente las reglas del sorteo. A menudo, los organizadores incluyen los detalles sobre cómo contactarán al ganador. Por último, si te queda posible, intenta contactar directamente al organizador. Incluso si no eres el ganador, te aseguro que estarán agradecidos de estar al tanto sobre el incidente y tomarán las acciones apropiadas para resolverlo.
2. Piensa antes de actuar
A menudo, los ataques de phishing dependen mucho del factor "tiempo", por ejemplo, la urgencia de recibir una respuesta por parte de la víctima potencial. Usualmente, los mensajes (correos electrónicos, mensajes de texto, etc.) contienen elementos de respuesta inmediata como "haz clic aquí, ya" o "tienes una hora para responder este mensaje" incluso agregan "de lo contrario cerraremos tu cuenta". Debido a esto muchas personas reaccionan demasiado rápido y el atacante cumple con su objetivo. Si identificas un mensaje de texto o correo electrónico que pide una acción urgente de tu parte, y en especial si incluye una consecuencia o amenaza, detente por unos segundos y piénsalo bien. Pregúntate: ¿mi banco, escuela u oficina suele enviar este tipo de comunicaciones? Revisa el número telefónico o correo electrónico del remitente del mensaje y analiza si conoces a esta persona. También puedes intentar contactarla por otro medio. Si puedes contactarla por teléfono o por medio de amigos en común, hazlo antes de contestar al mensaje.
3. Cuando sea posible, verifica la información
Para los hackers la táctica más sencilla es intentar sacarte información haciéndose pasar por una empresa conocida como Facebook, Google, Microsoft, etc. La mayoría de las veces, la víctima asume que si un representante de una compañía tan importante se ha puesto en contacto entonces la llamada o el mensaje deben ser legítimos. ¿Cómo puedo verificar si son confiables? Por suerte, las mismas empresas tienen muy presente la necesidad de la seguridad de información de sus clientes y suelen ofrecer varias soluciones para verificar la confiabilidad de estos mensajes. Incluso los empleados de los bancos, en la mayoría de los casos, te ayudarán a comprobar de forma fácil y segura que en efecto son empleados de ese banco. Sin embargo, no todas las empresas tienen estas políticas y a veces es difícil comprobar la veracidad de la información debido a otros factores. En estos casos la mejor opción es pedir más tiempo para comprobar la información. Incluso recomendamos ponerse en contacto de forma física con la empresa u organización. En cualquier caso, la verificación de identidad es una de las herramientas más poderosas para evitar caer en fraudes y es mejor siempre tenerlo en cuenta.
4. Contar con políticas claras para el reconocimiento, respuesta e informe de incidentes.
Los estafadores que utilizan mensajes de phishing trabajan constantemente en cómo perfeccionar sus ataques. A veces es difícil mantenerse al día con las herramientas que ellos utilizan y no podemos asumir nunca que estamos 100% seguros de cualquier ataque cibernético, incluyendo este tipo de ingeniería social. Sin embargo, tener claras las políticas de protección en tu organización, empresa o incluso familia y hogar te ayudará a reducir el daño potencial en caso de ser víctima de este tipo de incidentes. Hay diferentes tipos de planes de seguridad para cada negocio, institución o uso privado, y cada plan cuenta con numerosos pasos a seguir. Busca el plan que se ajuste mejor a tus necesidades y comienza con conversaciones honestas. Piensa cuánto estás dispuesto a invertir en las habilidades de tus empleados, si tienes los recursos necesarios para proteger físicamente todos los puntos de acceso a tu red e incluso si tienes el conocimiento requerido para seguir métricas de desempeño de tu plan de seguridad. La mejor opción siempre es buscar la ayuda de expertos a la hora de implementar nuevas políticas de seguridad en tu institución o empresa. Estos expertos también ayudarán a identificar cuáles son las debilidades en tu red que puedan resultar en un ataque cibernético. Depende de ti escoger cómo solucionarlas.
5. Estar al día con lo último en ciberseguridad.
Suena cliché, pero nunca se está lo suficientemente preparado, especialmente cuando se trata sobre ciberseguridad. Sin embargo, estar al día con los reportes de incidentes y brechas de empresas y organizaciones importantes pueden ayudarte a preparar un plan para un próximo ataque. Aunque se cree que los ataques por phishing, en especial los personalizados, seguirán siendo una de las causas principales de crímenes cibernéticos, informarse y buscar soluciones de protección apropiadas de forma constante por medio de expertos puede ser valioso para tu organización y empresa. Además, mientras más conocimiento obtengan tus amigos, familiares, empleados, colegas, jóvenes y estudiantes respecto a las formas en que estos ataques suceden, las alertas más comunes para identificarlos y cómo reaccionar de forma oportuna, más fácil será fortalecer la alfabetización mediática y resiliencia frente a este tipo de ataques. Los expertos en seguridad y ciberseguridad siempre estarán dispuestos a ayudarte con consejos, recomendaciones de software y reconocimiento de áreas problemáticas potenciales que puedan ser vulnerables ante un ataque. Sin embargo, sólo mediante una evaluación realista de nuestras debilidades logras implementar las garantías y los protocolos necesarios para mantenerse a salvo.
Ilustración de fondo: Photo by Thaut Images from Adobe Stock / Adobe Stock license