Brother
  1. Home Brother
  2. Blog Brother España
  3. Transformación Digital
  4. 2023
  5. Cómo evitar costosos ataques de phishing
B23011 PhishingBlog Banner

Cómo evitar costosos ataques de phishing

El phishing se ha convertido en un grave riesgo de ciberseguridad para todos los responsables de TI, con ataques que son cada vez más frecuentes y sofisticados.

En este post examinamos el impacto del phishing, las últimas estafas que están surgiendo y algunos consejos para mantener a salvo a la plantilla.

Las estafas de phishing cuestan a las empresas miles de millones de euros cada año, aún más a medida que los ciberdelincuentes se vuelven más perspicaces, lo que se traduce en que los equipos de TI y seguridad de las empresas gastan un tercio de su semana laboral combatiendo la amenaza del phishing. Sin embargo, a medida que los profesionales informáticos se vuelven más inteligentes, también lo hacen los piratas informáticos, que encuentran nuevas formas de atacar a las organizaciones.

En palabras de Russell Johnson, IT Business Partner de Brother International Europe, “centrarse en el usuario es de vital importancia. Disponemos de sistemas técnicos de protección que son muy buenos, pero si un ataque sofisticado consigue penetrar, es responsabilidad del usuario protegerse a sí mismo y a la empresa”.

Conocer las tendencias en phishing y las medidas preventivas ahorrará tiempo, recursos y dinero.

Últimas tendencias en phishing

Recientemente se ha producido un aumento de los ataques Business Email Compromise (BEC) en toda Europa, concretamente con delincuentes que se hacen pasar por el director general de una empresa. Este ataque de suplantación de identidad engaña a los empleados para que actúen de una forma determinada y se ha convertido en uno de los sistemas de ataques de phishing más costosos. Tras investigar a su objetivo, que normalmente es un director financiero, los ciberdelincuentes crean una dirección de correo electrónico falsa y convincente para solicitar una transacción.

Hay muchos casos reales de estafas mediante este sistema. Por ejemplo, el fabricante austriaco de piezas aeroespaciales FACC perdió 42 millones de euros en un ataque BEC después de que un correo electrónico falso pidiera a un empleado que transfiriera dinero a una cuenta para un inexistente proyecto de adquisición.

El club de fútbol italiano Lazio también habría perdido dos millones de euros en una estafa de phishing similar. El equipo de la Serie A liberó fondos para el traspaso de un jugador tras recibir un correo electrónico que parecía proceder del club holandés Feyenoord.

B23011GIFFakelogin

Además, la creación de páginas falsas dirigidas a la recopilación de credenciales de empresa también va en aumento. Se trata de correos electrónicos de phishing que llevan a los usuarios a una página de inicio de sesión falsa para un servicio corporativo como Microsoft Office 365 o Amazon Web Services (AWS), lo que puede ser desastroso para las organizaciones, ya que los hackers acceden a datos sensibles almacenados en la cuenta.

Por ejemplo, recientemente unos atacantes suplantaron la identidad de Amazon Web Services mediante una notificación automática por correo electrónico. Los hipervínculos parecían totalmente creíbles, pero una anomalía en la URL redirigía a los usuarios a una página de inicio de sesión falsa.  

El consultor en ciberseguridad Rob Mukherjee aconseja a las empresas que utilicen la visión computarizada. Se trata de un campo del software que permite a los ordenadores reproducir el sistema visual humano mediante algoritmos (también es un subconjunto de la inteligencia artificial). Rob explica que “el software examina cada píxel e impide que los correos accedan a la bandeja de entrada si detecta alguna anomalía”.

B23011GIFImpersonation

Por otra parte, se ha producido un enorme aumento de correos electrónicos de suplantación de identidad en LinkedIn; así, los investigadores detectaron en 2022 un incremento del 232% en los correos electrónicos que afirman proceder de la red social. Los ciberdelincuentes utilizan la suplantación del nombre de usuario y plantillas HTML estilizadas para engañar a los usuarios de Microsoft Outlook y conseguir que, a continuación, hagan clic en enlaces de phishing e introduzcan sus datos.

Además, LinkedIn se está utilizando para buscar objetivos potenciales de phishing selectivo. Por ejemplo, piratas informáticos utilizaron esta red social para identificar a ingenieros de sistemas y administradores de red de Sony Pictures Entertainment y los correos electrónicos de phishing selectivo provocaron el robo de más de 100 terabytes de datos de la empresa. El ataque le costó a Sony más de 100 millones de dólares.   

B23011GIFLinkedIn

El verdadero coste del phishing

Los ataques de phishing son caros y difíciles de afrontar. Según IBM, en 2022 fueron el método de ataque más dañino, con un coste medio de 4,91 millones de dólares por violación de datos. Sin embargo, sigue siendo el punto de entrada más común para los delincuentes. De hecho, el 82% de las violaciones de datos en toda Europa tuvieron intervención humana en 2022.

Esta amenaza constante de phishing no sólo es costosa para las empresas, sino que repercute directamente en los responsables de TI, que se ven obligados a dedicarle más tiempo y recursos a combatirla. De hecho, los equipos de TI y de seguridad informan de que un único correo electrónico requiere ahora una media de 27,5 minutos en ser resuelto.

¿Cómo proteger una empresa contra el phishing? 

En la actualidad, la mejor manera de proteger una empresa contra un posible ataque de phishing sería mediante una combinación de herramientas TI y cambios en el comportamiento de los empleados. 

En palabras de Dan Giannasi, Director de Ciberseguridad e Innovación del Cyber Resilience Centre, “las empresas deben tomar medidas para proteger su organización, dificultando que los atacantes lleguen a los usuarios. Esto incluye la aplicación de protocolos de correo electrónico sólidos que impidan que los emails de phishing conocidos lleguen a los usuarios y eviten que los delincuentes imiten su dominio de correo electrónico en otros ataques”.

La implantación de un filtro de correo electrónico basado en reglas y de nivel empresarial permitirá detectar nombres de dominio e identidades suplantados, que el personal puede pasar por alto fácilmente. Los filtros avanzados también pueden detectar programas maliciosos, como escáneres de puertos y keyloggers.

B23011GIFPhishing

En cuanto al cambio de comportamiento, Joshua Ashton, Director de Symposium IT, aconseja que su equipo trate con cautela cualquier solicitud de información sensible e intente verificar la autenticidad de la fuente antes de actuar.

También es vital educar a los equipos sobre las señales de alarma comunes del phishing y poner a prueba sus habilidades porque, como señala Russell Jonson, “la resistencia humana siempre se puede mejorar”. Jonson dirige un programa interno de ciberseguridad para Brother International Europe que se imparte a 1.500 usuarios.

Centrado en la creación de un cortafuegos humano, la formación obligatoria se complementa con orientaciones opcionales y correctivas y artículos sobre las últimas tendencias. Cada usuario es objeto de un phishing una vez al mes mediante KnowBe4, un sistema que utiliza inteligencia artificial para calificar a los usuarios según cuatro criterios de riesgo diferentes. El programa ha sido bien recibido por el personal y la empresa está en vías de alcanzar el estándar del sector para su porcentaje de usuarios propensos al phishing.

¿Quieres saber más? Aquí tienes los 5 consejos de expertos para hacer frente al phishing en tu negocio.

Mas de Transformación digital

¿Te gustaría recibir alertas periódicas por correo electrónico con contenidos como éste?

Serás el primero en enterarte de nuevas publicaciones, encuestas y conversaciones con expertos sobre los temas tecnológicos que interesan hoy y los que te podrán interesar mañana.

Suscríbete ya a nuestra newsletter de in[ctrl] y permanece en control de la tecnología.

Suscríbete

Suscripcion blog Brother

Suscripción

Rellena nuestro formulario para estar al día de nuestro blog.
Volver a la home

Volver

Página principal del blog
Comentarios blog

Contactar

Envíanos un correo electrónico si tienes alguna duda. 

También podría gustarte

B22092Banner

Entrevista con el CIO: resiliencia informática y por qué es necesario un plan

Entrevista con el CIO: resiliencia informática y por qué es necesario un plan

3 minutos
B22091Banner

Qué debe incluir tu plan de resiliencia informática

Los responsables de TI deben revisar ahora estos aprendizajes y hacer de la creación de un plan de resiliencia un objetivo clave.
3 minutos
B22093Banner

Los cinco pasos para crear un plan de resiliencia de TI eficaz

¿Será un ataque de phishing, un fallo de hardware o un desastre natural lo que atrape a tu equipo de TI?
3 minutos
Volver arriba