LOS RIESGOS DEL

PHISHING PARA LAS

ORGANIZACIONES
Hoy en día los peligros de ser engañado son ampliamente conocidos,
pero la magnitud del daño a menudo se malinterpreta. El phishing
exitoso implica que el estafador obtenga acceso no autorizado a la
información privada de una organización, para luego obtener beneficios
personales. Algunos de los datos más comunes que roban los phishers
son los detalles de la cuenta bancaria, una vez obtenidos estos datos,
estos pueden usar dicha información para retirar dinero de la cuenta o
realizar una transacción en línea.

El impacto financiero global del phishing es difícil de estimar, las

grandes empresas son más susceptibles a perder grandes sumas de
dinero; un informe del Instituto Ponemon estima que en el primer
trimestre de 2016 los ataques de phishing exitosos recaudaron hasta $
3.7 millones por ataque en una organización grande. Las organizaciones
más pequeñas también son regularmente víctimas de ataques ya que
pueden no tener los recursos para construir redes de seguridad
sofisticadas o esquemas de concientización para evitar que su personal
caiga en las estafas.

Los phishers a menudo engañan a las grandes empresas haciéndose

pasar por gerentes de la empresa y enviando correos electrónicos al
personal de menor rango, ordenando a su personal que transfiera fondos
a cuentas que en realidad están controladas por los phishers. Este tipo
de phishing, a menudo llamado "caza de ballenas", puede hacer que la
empresa pierda enormes sumas de dinero, a veces incluso millones de
dólares. El fabricante austriaco de aviones FACC es un excelente ejemplo
de esto: les fueron robados $ 54 millones en enero de 2016, su CEO fue
despedido ese año debido al incidente y las repercusiones en la imagen
de la compañía.

Muchas organizaciones ahora están tomando medidas extensivas para

evitar ser engañadas, empleando filtros de correo electrónico o software
para impedir que se abran algunos archivos adjuntos, siendo poco
eficientes, ya que si un phisher tiene conocimiento de estas medidas,
puede diseñar el correo electrónico para este pueda pasar a través de
estos programas de protección regulares, por eso, otra ruta a tomar por
las empresas es capacitar a los empleados para que reconozcan los
esquemas de suplantación de identidad (phishing) o alentarlos a
cuestionar cuándo se realizan transacciones sospechosas.

Además de la pérdida financiera incurrida a través del phishing, las

empresas también pueden sufrir daños a la reputación ya que, si una
empresa ha sido víctima de una estafa, puede considerarse
incompetente y poco confiable, adicional, si esta empresa es un
proveedor externo, un incidente de incumplimiento puede llevar a que
sus clientes terminen sus contratos de inmediato. La construcción de
una reputación de marca requiere tiempo y dedicación y esta puede ser
eliminada casi instantáneamente por un atacante.

El daño a la reputación de una empresa no solo se debe a ser engañado,

sino también al ser falsificado. Si un hacker ha obtenido la lista de
clientes de la organización y les ha enviado correos electrónicos falsos,
la reputación de la organización se ve afectada, por eso, es vital que la
información privada del cliente esté protegida y las empresas pueden
contratar compañías especializadas en ciberseguridad para ayudar a
evitar que sus clientes sean víctimas de phishing.

Ransomware y phishing

El ransomware es un tipo de software malicioso el cual impide que la

víctima acceda a su computadora o a ciertos archivos en su
computadora, hasta que se pague un rescate al hacker informático. Este
malware puede ser enviado a una computadora a través de un ataque
de phishing, la víctima puede recibir un correo electrónico de un
contacto u organización de confianza, en el que el phisher ha incluido un
archivo adjunto, dicho archivo adjunto contiene el software, el cual al
abrirlo, la computadora se infecta y se le niega el acceso a la víctima.

El ransomware se ha convertido en una amenaza mayor en los últimos

años. Según Verizon, la compañía de comunicaciones fue el tipo de
software malicioso más utilizado en 2018, representando el 39% de los
ataques de phishing de malware, esto es el doble de la proporción de
ataques de malware ransomware realizados en 2017.

Los ataques de ransomware pueden estar aumentando debido a la

disponibilidad del software en línea ya que los hackers no necesitan
crear el software por sí mismos, simplemente los pueden comprar en la
web oscura, esto hace que se requiera muy poco esfuerzo por parte del
phisher, pero con un gran reembolso por su pequeño esfuerzo. Ante
esto, las víctimas están comparativamente indefensas y pueden hacer
poco más que pagar el rescate.
Los phishers ya no solo apuntan sus ataques a individuos, las
organizaciones grandes, con billeteras más grandes, están presenciando
un mayor número de ataques en sus sistemas. El atacante a veces
simplemente cierra el acceso a los sistemas esperando por el rescate,
otros, obtienen cierta información de rescate, como la información
médica privada de pacientes, si atacan a un proveedor de atención
médica y dado que la organización podría enfrentar enormes problemas
legales si se divulgan los datos de sus pacientes, se ven obligados a
pagar las multas.

Debido a la relativa facilidad de estos ataques, es probable que se

vuelvan más comunes en los próximos años.

Es difícil protegerse contra estos tipos de ataques y la forma más

sencilla es enseñarles a los empleados los peligros del phishing. Si los
empleados saben cómo detectar correos electrónicos sospechosos, no
estarán inclinados a abrir los archivos adjuntos y luego introducir
inadvertidamente el malware en el sistema. Evitar que el sistema se vea
comprometido, en lugar de lidiar con los efectos posteriores al ataque,
es la forma más fácil de garantizar que la seguridad de una empresa no
se vea comprometida.

Se debe enseñar a los empleados a nunca abrir correos electrónicos de

remitentes desconocidos o si abren correos electrónicos, nunca siga los
enlaces incrustados en el correo, ni abrir archivos (PDF, Excel, etc) o
imágenes adjuntas. Si hacen clic accidentalmente en el enlace de un
correo electrónico o abren un archivo adjunto, se les debe alentar a que
se comuniquen con el departamento de TI lo más rápido posible y
desconecten su dispositivo de la red para intentar mitigar el daño, así, el
departamento de TI puede evaluar si el hacker informático ha adquirido
acceso no autorizado al sistema. Otra medida es informar al resto de la
organización de la posible violación para que otros puedan estar atentos
a estafas similares. Se recomiendan talleres regulares de capacitación
sobre phishing, al igual que los correos electrónicos informando a los
empleados sobre las últimas estafas que circulan por Internet.

Sobre el Autor:
Liam Johnson es un especialista en seguridad cibernética con varios
años de experiencia en la redacción de contenido de ciberseguridad en
varios sitios web. Liam trabajó en varios sitios web de asesoramiento
sobre ciberseguridad durante varios años antes de unirse
a NetSec.news . También se abrió camino en la universidad como
escritor independiente de ciberseguridad. Es responsable de la
investigación en profundidad y de la producción de consejos detallados
sobre temas de ciberseguridad para Netsec.news.

https://blog.eccouncil.org/the-risks-of-phishing-to-organizations/