El 80% de las organizaciones tiene al menos un empleado que fue víctima de un intento de phishing simulado.
El phishing es una forma de ciberataque en la que los delincuentes intentan engañar a las personas para que revelen información confidencial como contraseñas, números de tarjeta de crédito o más datos bancarios.
Los ciberdelincuentes suelen contactar a sus víctimas a través de llamadas, redes sociales o correos. Se hacen pasar por una entidad de confianza como un banco, empresa de tecnología o una organización gubernamental, y envían mensajes o correos electrónicos falsificados que parecen legítimos.
Los correos son uno de los medios más usados en esta técnica de fraude, la cual funciona para distribuir ransomware (secuestro de datos) o software malicioso, el cual es utilizado para cifrar los archivos de un sistema informático o dispositivo para luego exigir un rescate.
Las empresas están mas expuestas a estos ataques, según las evaluaciones de phishing realizadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, el 80% de las organizaciones tenían al menos un empleado que fue víctima de un intento de phishing simulado.
Los mejores consejos
Debido a que la mayoría del ransomware es distribuido a través del phishing, la educación a los empleados es esencial para proteger a las organizaciones de estas amenazas.
Y si bien la mayoría de los líderes creen que están listos para defenderse en contra de un ataque (el 78% asegura estar muy o extremadamente preparado para mitigar la amenaza) la mitad fue víctima de un ataque de ransomware en los últimos 12 meses.
1. Concientización de seguridad: implementar un programa de concientización en ciberseguridad continuo que evalúe frecuentemente el comportamiento cambiante del panorama de amenazas, es un factor crítico para mantener a una organización segura, afirma Fortinet, empresa encargada de desarrollar y comercializar servicios de ciberseguridad.
Dicha compañía proporciona un servicio de capacitación y concientización, como una oferta SaaS (software como servicio) que entrega actualización oportuna y actual sobre las amenazas de seguridad existentes.
2. Simulación de phising: distribuir correos de simulación de phishing a los empleados de una organización les permite practicar para identificar las comunicaciones maliciosas y que sepan qué hacer en caso de que un actor de amenazas ataque.
Existe la experiencia denominada servicio de simulación de suplantación de identidad de FortiPhish, que utiliza simulaciones para ayudar a las organizaciones a evaluar, concientizar y vigilar a los usuarios ante las amenazas de phishing y capacitarlos sobre los pasos a seguir cuando sospechen que podrían ser el objetivo de un ataque de este estilo.
3. Entrenamiento: se trata de proporcionar a los empleados capacitación específica en la identificación de correos electrónicos y sitios web fraudulentos. Enseñarles a verificar la dirección de correo electrónico del remitente, a no hacer clic en enlaces sospechosos y a verificar la autenticidad de los sitios web antes de proporcionar información personal.
4. Establecer procedimientos: hay que establecer un procedimiento claro para que los empleados reporten cualquier intento de phishing o actividad sospechosa. Los líderes de las empresas deben asegurarse de que se sientan cómodos informando sin temor a represalias.
Al igual que con la introducción de cualquier tecnología nueva, los ciberdelincuentes encontrarán continuamente formas de utilizar estas herramientas con fines maliciosos. Esto requiere que los equipos de seguridad y todos los empleados de la organización sean aún más diligentes en la protección contra amenazas, recomienda Fortinet.
La educación y la concientización son herramientas poderosas para proteger a una empresa contra el phishing y otras amenazas cibernéticas.
De acuerdo con el Reporte de Ransomware 2023 de FortiGuard Labs, el phishing sigue siendo la táctica preferida (53%) de los actores maliciosos para infiltrar las redes y lanzar un ataque de ransomware exitoso.
Además, en la era donde la Inteligencia Artificial se encuentra en su punto más popular, las herramientas de generación de contenido impulsadas por esta tecnología se vuelven más accesibles a un costo bajo o incluso gratis, los cibercriminales recurren a ellas para evolucionar sus operaciones.
Un modo en el que lo están haciendo es utilizándolas para que sus correos y mensajes de texto se vean más realistas que antes, incrementando así las oportunidades de que alguna victima distraída haga clic en un enlace corrupto.
Escrito por Isabela Duran.
