El Phishing continúa siendo una amenaza alarmante para las empresas, sobre todo ahora que la digitalización se ha vuelto imprescindible para el desarrollo empresarial.
De acuerdo con IBM Security, actualmente Latinoamérica es la quinta región en el mundo con más ciberataques en las empresas, registros que además destacan que el sector financiero y de manufactura, son los más asediados por los hackers.
Por supuesto que la transformación digital ha traído importantes avances para LATAM, sin embargo, también ha subrayado la importancia de proteger el ecosistema digital de toda la empresa y fomentar buenas prácticas de Ciberseguridad.
Sobre todo, actualmente que miles de personas se encuentran laborando desde casa y el phishing continúa siendo de los cibercrímenes más comunes en el mundo. ¿Te preocupa que los procesos de tu empresa estén en riesgo? ¿o que la información sensible se vea expuesta? ¿Cómo puedes prevenir esto y preparar a toda tu empresa para este tipo de ataque?
Te lo contamos todo en este artículo.
¿Qué es Phishing?
El Phishing, es un tipo de ciberataque de ingeniería social, es decir, que se aprovecha de las vulnerabilidades del factor humano. La palabra de hecho se origina del verbo ‘pescar’ en inglés (fishing) debido a su similitud con esa dinámica de colocar un anzuelo y solo esperar que sea mordido.
De la misma manera actúan los ciberdelincuentes, esperando ‘pescar’ la información necesaria de las empresas. Pero…
¿En qué consiste el Phishing?
Para ser más exactos, este ciberataque se caracteriza por tres principales factores: primero, que esto sucede usualmente por vías de comunicación, por ejemplo, teléfono, por mensajería instantánea o por e-mail; el segundo factor es que se utilizan nombres de instituciones o empresas reales con la finalidad de engañar al usuario; y por último, estos siempre tienen un sentido de urgencia, es decir, que te exigen realizar una acción -como colocar o brindar algún dato en específico – y recalcan que de lo contrario, habrá consecuencias.
Puede que esto suene bastante fácil de detectar. Pero, si el Phishing se ha convertido en una de las maneras más fáciles y rápidas de obtener información y violar los datos de las víctimas y de miles de empresas, es porque en realidad procuran enfocarse en situaciones del día a día o bastante comunes, de manera que una persona no se daría cuenta de la anomalía.
Por ejemplo, imagínate que la secretaria de Dirección general de la empresa recibe un correo proveniente del software que el Director y demás consejeros usan para información confidencial y seguimiento de proyectos, y en este correo se le indica que se ha detectado un intento de ingreso desde un usuario no reconocido, menciona que para salvaguardar la información de la empresa solo necesita cambiar la contraseña y para cambiar la contraseña, solo necesita colocar los datos y contraseñas actuales. ¿Qué piensas que haría la colaboradora ante esta situación?
Mantengamos la respuesta en suspenso, porque conforme avancemos la lectura, el ejemplo será aún más preciso y detallado.
Pues inclusive, existen múltiples formas de hacer phishing que son necesarias conocerlas para prevenirlas a tiempo.
Tipos de Phishing
Conocer los tipos de Phishing nos permitirá identificar las vulnerabilidades actuales en la empresa y las medidas necesarias a implementar de acuerdo con cada caso.
Phishing por engaño
Como ya hemos entendido, el engaño es la característica principal del Phishing, sin embargo, cuando hablamos de esta clasificación, nos referimos a un tipo en particular en el que se hace uso de datos y nombres reales, ya sea de una institución, empresa o persona.
Vishing
También conocido como Phishing Telefónico, básicamente aquí encontramos el origen del phishing, cuando preferíamos las llamadas. De hecho, ahora todos conocemos a alguien que al menos una vez ha recibido una llamada amenazante o una llamada urgente en donde intentan extorsionar o bien, intentan hacerse pasar por otra persona.
Actualmente esto ha evolucionado y dio lugar a otro tipo de phishing conocido como smishing, que básicamente se realiza a través de mensajes SMS o mensajería instantánea.
Phishing por clonación
En estos casos, los atacantes han logrado clonar una dirección de correo electrónico legítima y a trav és de ese correo clonado consiguen enviar enlaces maliciosos que les da acceso a la información de la empresa.
Spear phishing o phishing personalizado
Este se dirige a las grandes empresas. Los ciberdelincuentes se encargan de enfocarse a una persona o un grupo de personas en específico y recopila toda la información necesaria para clonar con preciso detalle sitios web, e-mails, entre otras fuentes de información.
Esta es una técnica utilizada no solo para grandes empresas, sino también para personas influyentes.
Whaling
Este tipo de phishing se enfoca específicamente en los ejecutivos, la alta dirección y consejeros de una empresa. Los ciberdelincuentes saben que se trata de personas con gran cantidad de información que podría servirles de distintas maneras.
Por lo que se caracteriza por obtener el acceso a cuentas bancarias o fuentes de información confidencial. Así es, tal como en el ejemplo que mencionamos anteriormente, en el que un secretario o asistente pueda actuar con la intención de salvaguardar la información de toda la compañía pero que, en realidad, está haciendo todo lo contrario.
Bastante peligrosos ¿no?
Ejemplos de phishing en las empresas
Expertos afirman que uno de los errores más comunes en las empresas, es el subestimar este tipo de ataques, pues muchos creen que es fácil y rápido identificar estas situaciones a tiempo, pero lo cierto es que influyen muchos factores para que tu empresa y colaboradores, puedan prevenir y estén preparados para ello.
Empresas multinacionales han sido víctimas de phishing, estos son algunos de los ejemplos más conocidos.
Filtración de datos de conocida cadena de tiendas de autoservicio
Target, es una de las cadenas de autoservicio más grandes, sin embargo, durante el 2013, fue víctima de phishing. ¿Cómo sucedió esto?
Se sabe que todo comenzó por uno e-mail de parte de uno de sus proveedores, cuyo contenido traía un enlace malicioso que dio acceso a sistemas de información y datos de Target, obteniendo así, los datos de sus clientes.
Claro que esto dañó gravemente la reputación de Target, pero además de eso, se vieron orillados a aceptar un acuerdo de conciliación de 18,5 millones de dólares.
Engaños a los departamentos de contabilidad de Google y Facebook
Hasta los gigantes han sido víctimas. Tal fue el caso de Google y Facebook en el 2017, cuando informaron que sus departamentos de contabilidad habían transferido hasta 10 millones de dólares a una cuenta extranjera que estaba en manos de ciberdelincuentes.
Todo esto se llevó a cabo a través de una serie de e-mails phishing.
Estos tipos de casos de phishing, nos demuestran lo importante que es contemplar el factor humano y lo importante que es el tiempo, una vez que se ha caído en una de las trampas de los ciberdelincuentes.
Sin embargo, a pesar de encontrar a Latinoamérica como una de las regiones con mayor ciberataques y víctimas de phishing, muchas empresas aún están indecisas sobre aumentar las inversiones en medidas adecuadas para garantizar la seguridad de la información y la Ciberseguridad, no solo de la compañía, si no también de los colaboradores y clientes.
Por supuesto que este rubro no solo necesita de mayor inversión monetaria, también precisa de mayor atención, concientización y tiempo invertido para encontrar las medidas de ciberseguridad más adecuadas y eficientes.
¿Cómo evitar phishing dentro de las empresas?
Las buenas prácticas de ciberseguridad deben ser conocidas, entendidas y cumplidas por todos y cada uno de los colaboradores que integran una organización.
¿Cómo lograr esto? A través de diversas estrategias que nos permitan identificar las vulnerabilidades actuales en los procesos que hoy componen una compañía.
5 Errores de ciberseguridad más comunes en las empresas
En algunos casos, las prácticas requieren de más atención y la participación de los debidos involucrados.
Entre los errores más comunes en cuanto a ciberseguridad en las empresas podemos encontrar:
- No contar con Políticas de seguridad de la información o incluso no actualizarse en su debido momento.
- Falta de capacitación a colaboradores, esto es muy importante para la comunicación y para preparar a los equipos para saber cómo actuar frente a una situación de ciberataque, específicamente de phishing.
- No realizar copias de seguridad de la información de la empresa, esto es necesario para todos los niveles de la empresa.
- No contar con softwares que cuenten con las medidas de seguridad adecuadas, esto necesita convertirse en una característica clave, sobre todo ahora que las empresas están enfocadas en la transformación digital.
- No realizar contratos de servicios y confidencialidad, esto es incluso necesario tanto para colaboradores como proveedores, pero, además, necesario pensarlo desde el punto de vista como empresa: ¿cómo tu compañía garantizará la protección de datos de tus clientes?
Y por supuesto el error más común es subestimar a los atacantes, a la información y las medidas de ciberseguridad actuales en tu empresa. Eso solo les da mayor ventaja a los ciberdelincuentes.
Prevenir a la Alta Dirección y/o Junta Directiva
En algunas ocasiones la desinformación y la brecha de edades, puede influir en que los directores y demás miembros de la Junta Directiva (Consejo de Administración/Directorio) consideren que la ciberseguridad es solo tema del área responsable de tecnología.
Sin embargo, es la Junta Directiva y la Alta Dirección, los órganos más importantes para llevar a cabo las prácticas y medidas adecuadas en toda la empresa.
Pero ¿cómo podemos prevenir los ataques de phishing hacia los miembros de estos dos órganos?
Como miembro de Junta Directiva o como responsable de la gestión de procesos de la Junta Directiva, es importante reconocer y recalcar los impactos negativos ante una deficiente cultura de seguridad de la información.
Es importante que se mantengan informados y de manera constante actualizados para siempre contar con los compromisos y prioridades de ciberseguridad alineadas.
La ciberseguridad no puede ser un campo inexplorado para las Juntas Directivas (Consejo de Administración/ Directorios), puesto que se trata de un riesgo de alto impacto para las compañías.
Para ellos, te recomendamos dos prácticas infalibles:
- Realizar capacitaciones enfocadas específicamente a los miembros de la Alta Dirección y la Junta Directiva, en estos espacios tendrán la oportunidad de detallar aquellos términos técnicos necesarios.
- Contar con las herramientas tecnológicas adecuadas, estas deben cumplir con los requisitos y los filtros de seguridad adecuados para garantizar que la información compartida entre los miembros de la Junta Directiva y demás involucrados, se maneje de forma segura.
Recuerda que utilizar una Software específico para la gestión de Junta Directiva y la Alta Dirección, aumentará la productividad, la transparencia y la comunicación entre los miembros y demás involucrados, pero, además, centralizará la información en un mismo sitio.
El que directores y consejeros, gerentes e incluso, asistentes o secretarios (a) envíen informes o datos confidenciales a través de e-mails o mensajería instantánea, expondrá toda la información de diversas maneras.
Buen Gobierno Corporativo y Ciberseguridad
Un buen Gobierno Corporativo se integra por la seguridad de la información como una de las piezas esenciales para su buen funcionamiento.
El phishing y demás ciberataques, hoy en día se colocan como uno de los riesgos más alarmantes para las empresas de Latinoamérica. Y reducir los riesgos es precisamente una de las principales responsabilidades del principal órgano: La Junta Directiva (Conocido en otros países como Consejo de Administración o Directorio)
Bien sabemos que la transformación digital ha llegado a las empresas de Latinoamérica con grandes ventajas, como la transparencia, optimización de tiempo y automatización de tareas y procesos, sin embargo, también es una materia de la que los consejeros y directores necesitan mantenerse actualizados e informados.
Un Portal de Gobierno Corporativo es considerado como una de las mejores prácticas de gobernanza y uno de los pasos fundamentales para la digitalización de todos los procesos relacionados a la Alta Dirección y Junta Directiva.