Documentos de Académico
Documentos de Profesional
Documentos de Cultura
9 Consejos para Prevenir El Phishing
9 Consejos para Prevenir El Phishing
Reportajes y análisis
Llegamos a ustedes gracias a:
9 consejos para prevenir el
phishing
perty Real
Property Real
Invertir
en
Miami
es
posible
[02/08/2022] El phishing, en el que un atacante envía un correo
electrónico engañoso para que el destinatario entregue información
Property Real Group o descargue un archivo, es una práctica que tiene décadas de
antigüedad y que sigue siendo responsable de innumerables dolores
de cabeza para los informáticos. El phishing es el primer paso para
todo tipo de ataques, desde el robo de contraseñas hasta la descarga
de malware que puede proporcionar una puerta trasera en una red
corporativa.
Añade que "en cuanto a cómo reconocer y evitar ser estafado por el phishing, es importante
que el usuario se pregunte: "¿me están empujando a actuar rápidamente?" o "¿me están
manipulando?".
El antídoto para este tipo de ansiedad inducida es recordar que siempre se puede dar un paso
atrás y tomar aire. "Si un correo electrónico ya parece raro y le empuja a hacer algo (o
aumenta su presión arterial), lo más probable es que sea un correo de phishing", anota Dave
Courbanou, técnico informático de Intelligent Product Solutions. "Es rápido y fácil que un
colega o profesional de la informática compruebe un correo electrónico por usted. La limpieza
después de un phishing exitoso podría llevar días, semanas o meses, dependiendo de lo que
estuviera en juego, así que no dude en pedir a sus contactos de TI que revisen cualquier
correo electrónico por usted por cualquier motivo".
De hecho, todos sus procesos internos deberían estar alineados en torno a asegurarse de que
un intento de phishing no pueda causar demasiados problemas. "Cualquier solicitud de
información sensible, incluidas las contraseñas, debe confirmarse a través de un medio
diferente", indica Scott Lieberman, que fue instructor de TI centrado en la seguridad de la red
en el Sinclair Community College de Dayton, Ohio. "Si recibe un correo electrónico de su
supervisor pidiéndole la contraseña del backend del sitio web de la empresa, entre en Slack o
Microsoft Teams -o tome el teléfono para llamar a su supervisor- para preguntar por ella".
"Un paso importante en la prevención que pueden dar las empresas, es poner en marcha
políticas básicas en torno a la compartición de datos sensibles", añade Larry Chinski,
vicepresidente de Estrategia Global de IAM de One Identity. "Esto puede ser tan simple como
asegurarse de que solo un pequeño grupo de empleados esté informado de la información
financiera y de las credenciales de acceso, lo que puede minimizar la posibilidad de un error
humano. Se puede garantizar aún más seguridad creando un proceso de jerarquía analítica
para cuando se soliciten datos altamente sensibles. Esto permitirá un mayor tiempo de
aprobación y proporcionará una revisión más profunda de las solicitudes sospechosas".
Yendo un paso más allá, Jacob Ansari, defensor de la Seguridad y Analista de Cibertendencias
Emergentes de Schellman, un evaluador global independiente de seguridad y cumplimiento
de la privacidad, señala que las empresas pueden trabajar para hacer que sus comunicaciones
internas sean inofensivas. "Lo más importante que se puede hacer es que los procesos
empresariales legítimos no parezcan intentos de phishing", explica. "En lugar de enviar un
enlace en un correo electrónico para que los empleados hagan clic, dar indicaciones para
iniciar sesión en una intranet corporativa. La dirección de la empresa debería dejar de adjuntar
documentos de Office por correo electrónico y, en su lugar, colocar los documentos en los
depósitos de archivos apropiados y comunicarlos a los empleados. Los enlaces y los archivos
adjuntos son los principales vehículos para los ataques de phishing; minimizar su uso legítimo
reduce la espesura en la que pueden esconderse los ataques de phishing".
3. Formar y probar al personal para que detecte los correos electrónicos de phishing
Muchos de sus empleados, si no la mayoría, probablemente creen que ya pueden detectar un
correo electrónico de phishing, aunque puede que se confíen demasiado. "Todos hemos oído
las cosas básicas que hay que buscar, como no dirigirse a usted por su nombre o una
gramática pobre en el cuerpo de un correo electrónico", indica Michael Schenck, consultor
senior de ciberseguridad en CyZen. "Desgraciadamente, hemos visto a los hackers mejorar el
uso del lenguaje con algunos impulsados por bots de IA de lenguaje natural.
Si prefieres mantener las cosas en casa, Andreas Grant, ingeniero de seguridad de redes y
fundador de Networks Hardware, recomienda marcos de phishing de código abierto como
Gophish que pueden ayudar a organizar las pruebas. "Introduje un sistema de recompensa
para las personas que puedan marcar estas estafas", explica. "Al gamificar el sistema, se
mantiene a todo el mundo atento, y hace que las cosas sean divertidas al mismo tiempo.
También mantiene la conversación, por lo que se gana tanto desde la perspectiva del usuario
como del departamento de TI. También se puede tener una idea de hasta qué punto la gente
ha caído en estas estafas cuando se realizan estas pruebas, por lo que se pueden utilizar esos
datos para señalar los puntos débiles y centrarse en esas partes específicas en las
formaciones".
En cuanto a las motivaciones, las zanahorias funcionan mucho mejor que los palos. "Nunca
hay que condenar al ostracismo ni castigar a un usuario que ha caído en la trampa", anota
Josh Smith, analista de ciberamenazas de Nuspire. "Ellos son una víctima en la situación, ya
que estos correos electrónicos maliciosos están diseñados para aprovecharse de las
emociones humanas".
Y si se espera que la gente denuncie los correos electrónicos, hay que hacerlo de forma
sencilla, añade Cyril Noel-Tagoe, investigador principal de seguridad de Netacea. "Los
engorrosos procesos de denuncia -por ejemplo, adjuntar una copia del correo electrónico
sospechoso a un nuevo correo electrónico y enviarlo a TI- deberían sustituirse por alternativas
fáciles de usar, como un botón de denuncia integrado en el cliente de correo electrónico",
afirma. "Esto ayudará a promover una cultura que normalice la denuncia de los correos
electrónicos sospechosos".
La web oscura puede albergar algo más que charlas, ya que este reino sombrío suele servir de
mercado para las credenciales robadas. "Las contraseñas filtradas junto con las direcciones de
correo electrónico también podrían alertarles del riesgo de ataques de compromiso del correo
electrónico empresarial, un tipo de phishing especialmente complicado en el que los
delincuentes explotan a los empleados enviándoles correos electrónicos desde cuentas
legítimas hackeadas", explica Owenson. "El conocimiento de que las contraseñas han sido
comprometidas permite a las organizaciones hacer cumplir las actualizaciones de las
contraseñas para los individuos afectados".
Otro grupo dentro de la empresa que debe estar en guardia constante: los habitantes de la
suite C. "Últimamente están surgiendo ataques que se dirigen a personas de alto valor",
comenta Ricardo Villadiego, fundador y director general de la empresa de pruebas de
seguridad Lumu. "Los altos cargos deben crear nuevos protocolos sobre la privacidad de los
datos. Hay que animar a los ejecutivos y a los empleados de alto nivel a utilizar restricciones
de privacidad en las redes sociales. Deben asegurarse de borrar o minimizar la información
personal de los perfiles públicos de la mejor manera posible, evitando pistas informativas
fáciles como los cumpleaños y las ubicaciones habituales que pueden ser aprovechadas en los
ataques".
En general, la transparencia puede ser una virtud, pero las empresas deben ser conscientes de
que cualquier información que pongan en línea puede ser utilizada por este tipo de
estafadores que se hacen pasar por empleados o conocedores de la situación. "Revise la
información disponible públicamente que puede ser aprovechada en un ataque contra su
empresa", insta Adam King, director de Sentrium, una empresa que ofrece evaluación de
ciberseguridad y pruebas de penetración. "Compruebe su sitio web, las redes sociales e
incluso los perfiles de los empleados. ¿Contienen sus anuncios de trabajo detalles sobre las
tecnologías que utiliza su organización?".
En otro orden de cosas, hemos hablado mucho del correo electrónico, pero conviene tener en
cuenta que los canales de comunicación relacionados con la empresa están proliferando
rápidamente, y los phishers pueden utilizarlos todos, y tanto los usuarios como el
departamento de TI deben ser conscientes de ello. "Los entornos de comunicación
empresarial son cada vez más complejos, ya que ahora incluyen el chat, la colaboración, el
correo electrónico y las redes sociales", afirma Chris Lehman, director general de SafeGuard
Cyber.
"Los actores de las amenazas saben que esta complejidad es un reto para los equipos de
seguridad y se están aprovechando de ello. Los ataques de phishing actuales tienen la misma
probabilidad de originarse en las redes sociales o en una aplicación de mensajería que en el
correo electrónico. Debe evaluar el uso empresarial de todos los canales de comunicación, por
departamento. Entienda cómo se utiliza el canal, qué datos pasan por él y cómo se
aprovisiona. Por ejemplo, ¿utiliza Marketing un espacio de trabajo de Slack para conectarse
con socios y proveedores?".
Un gestor de contraseñas también puede ser útil en este caso. No solo evitará que sus
empleados reutilicen las contraseñas, sino que también reconocerá cuándo han aterrizado en
una página de phishing falsa y no rellenará automáticamente las credenciales como lo haría en
una página real.
También existen herramientas para desinfectar a fondo los correos electrónicos antes de que
lleguen a las bandejas de entrada de los usuarios, y deberían utilizarse, indica Benny Czarny,
fundador y director general de la empresa de ciberseguridad OPSWAT. "Utilice la tecnología
de escaneo múltiple para escanear y analizar todos los archivos descargados en la red de la
organización", aconseja. "Ningún motor antivirus puede detectar el 100% de las amenazas en
todo momento. Al utilizar varios motores antivirus para analizar los correos electrónicos, las
organizaciones pueden aumentar sus posibilidades de que una nueva amenaza sea detectada
y mitigada rápidamente. En el caso de los archivos desconocidos, el escaneo dinámico del
sandbox puede detectar comportamientos maliciosos. Y una solución de desarme y
reconstrucción de contenido, también conocida como sanitización de datos, descompone y
reconstruye por completo los archivos potencialmente peligrosos, eliminando los objetos
inseguros en el proceso y preservando la usabilidad".
8. Haga que los correos electrónicos legítimos sean más fáciles de identificar
Si tiene políticas y herramientas que facilitan a los empleados el reconocimiento de los
mensajes de phishing, estás en ventaja. "Marque los correos electrónicos que no se envían
desde el dominio de la empresa como 'Externos'", señala Tony Anscombe, evangelista jefe de
seguridad de ESET. "Esto es una advertencia visual para que el usuario esté más atento, y es
una victoria fácil para el equipo de TI corporativo". Esto es particularmente útil cuando los
correos electrónicos provienen de dominios de apariencia typosquatting y pueden parecer a
primera vista mensajes internos.
Por supuesto, es mucho más difícil que los empleados detecten los correos electrónicos falsos
si en el campo "De:" aparece una dirección real de alguien que conocen, lo que un hacker
inteligente puede conseguir mediante la suplantación de correos electrónicos, anota King de
Sentrium. "Asegúrese de que los registros de su sistema de nombres de dominio (DNS) están
correctamente configurados para evitar la suplantación de identidad", recomienda.
Otra solución para olfatear los correos electrónicos amenazantes es "integrar el sistema de
correo de la organización con una fuente de inteligencia para crear una lista negra y evitar la
recepción de correos electrónicos de una fuente maliciosa", señala Azoulay. "Un mensaje de
correo electrónico puede entonces rastrearse para ver los saltos entre servidores. Cuando la IP
maliciosa coincide con las de la lista negra, el correo electrónico debe considerarse inválido".
que siga los procesos esperados para presentar los gastos de la empresa, como las
anotaciones/comentarios correctos y que se presenten a tiempo. El resto depende de la
contabilidad. Del mismo modo, el departamento de TI debe esperar que los empleados
conozcan las políticas y los procedimientos, en concreto, cómo deben ponerse en contacto
con la seguridad. Todo lo demás es responsabilidad del equipo de seguridad".
Y aunque siga todos los consejos de este artículo, es probable que en algún momento sufra
una brecha, y tiene que estar preparado para lo que venga después. "Desafortunadamente,
siempre hay algunos empleados que caerán en los correos electrónicos de phishing, incluso si
los equipos de TI han implementado la mejor formación y prevención que el dinero puede
comprar", señala Sally Vincent, ingeniero senior de Investigación de Amenazas en LogRhythm.
"Es imperativo que estos equipos tengan un plan para responder a los usuarios que son
víctimas de phishing. Responder a un phishing exitoso es un ejercicio de mesa realista en el
que los equipos de seguridad pueden trabajar".
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú
BrandPosts Más »