¿Phishing al empleado?: los 10 cebos ideados para que caigas en la trampa

Entre los muchos aspectos a considerar y reforzar con la generalización del teletrabajo en las empresas figura, sin duda alguna, la ciberseguridad. De hecho, la preocupación de las compañías al respecto está creciendo.

En parte, es comprensible que existan más amenazas, dado que en este contexto actual de trabajo en remoto son los empleados los que se enfrentan a los ciberriesgos sin más escudo que los conocimientos que puedan tener. Y, en este sentido, no siempre están igual de preparados para afrontar esta batalla.

Los ciberdelincuentes ponen el cebo

Una de las modalidades de ciberataque que más popularidad está ganando es el phishing, un ataque con el que, a través de un ‘gancho’ o ‘cebo’ creíble, se busca la obtención de contraseñas, credenciales bancarias o datos personales de las víctimas. Unos ataques que, además, son cada vez más sofisticados.

Por ello, desde la compañía Sophos han llevado a cabo un estudio para localizar los ‘puntos flacos’ de los trabajadores. A través de su herramienta Sophos Phish Threat, una empresa puede instalar un simulador de ataques de phishing automatizados para sensibilizar y concienciar a sus empleados. Hay que señalar que, obviamente, no son ataques reales, sino simulados. Sin embargo, los resultados del estudio desvelan las 10 amenazas en las que, por orden de importancia, más han picado los empleados en el último año:

• Código de conducta. El empleado recibe una carta de Recursos Humanos que expone los nuevos códigos de conducta y, al ser de lectura obligatoria, es la estafa que más éxito tiene.
• El resumen del cierre fiscal se retrasa. Se invita a pinchar en un link para saber de cuánto tiempo de retraso estamos hablando.
• Mantenimiento programado del servidor. Saber ahora cuándo se podría interrumpir el acceso ha ganado relevancia para los empleados.
• Se anuncia una nueva tarea. Phishing semidirigido, ya que el administrador simula utilizar el programa interno que utilice la empresa para que no sea tan obvia la estafa.
• Nueva prueba del sistema de correo electrónico. Un clic rápido para ayudar a un compañero. Éxito asegurado…
• Actualización de la política de vacaciones, uno de los muchos aspectos que se han visto afectados por la pandemia en las compañías.
• Alguien se ha dejado las luces del coche encendidas y puede comprobarlo entrando en un link. Muy sospechoso, pero a la vez muy efectivo.
• El clásico: fallo en la entrega de un paquete. Al no saber qué empresa hace las entregas de las compras que hacemos online, es sencillo confiarse.
• Documento seguro desde RRHH que te obliga a introducir contraseñas. Otro clásico del phishing.
• Notificación falsa de una red social, con supuestos mensajes sin leer.

Un ataque rentable

Según nos cuenta Iván Mateos, Sales Engineer de Sophos Iberia, la clave del éxito del phishing radica en que se trata de un ataque “sencillo de hacer y altamente exitoso”. Tanto que el 93% de los ciberataques comienzan por un correo electrónico, ya que es la forma más sencilla de llegar a muchas personas sin que la víctima mueva un solo dedo. En este sentido, cualquier usuario o empresa tiene una o más direcciones de correo electrónico en las que diariamente reciben comunicaciones lícitas mezcladas entre comunicaciones ilícitas o spam. A esos mensajes a veces les prestamos más atención y otras simplemente leemos en diagonal sin pararnos a pensar mucho en ellas, no verificamos si el remitente es quien dice ser, no pensamos en la seguridad del contenido del mensaje o incluso si tiene sentido que estemos recibiendo ese mensaje. Si a esto, añade Mateos, le sumamos que el correo electrónico es uno de los sistemas de comunicación más inseguros y expuestos de los que se utilizan hoy en día, tenemos la combinación perfecta.

Llegados a este punto, el portavoz de la compañía asevera que “los ataques de phishing son altamente rentables, porque los cibercriminales no necesitan hacer mucho para conseguir sus objetivos”. Y es que, para componer un correo de phishing lo único que un atacante necesita es un contexto, un objetivo y unos conocimientos básicos para dar a su mensaje una apariencia real. A partir de aquí, nos encontramos tanto con ataques masivos (más sencillos de detectar), como con ataques dirigidos, donde la ingeniería social y la preparación del terreno por parte del atacante convierten estos ataques en un vector muy efectivo con el que conseguir infinidad de resultados que podrían ir “desde robar información a infectar con malware y secuestrar la información de toda una empresa”, concluye Mateos.

Así, no podemos dejar de recordar una serie de consejos que pueden servirnos, y mucho, para evitar pasar a engrosar la lista cada vez más nutrida de víctimas de phishing, esta vez desde nuestra posición de empleados. En primer lugar, sentido común; piensa antes de clicar, porque en el mensaje o la imagen puede haber pistas que revelen el intento de estafa. Además, consultar el propio enlace al que nos dirigen también puede evitar males mayores. No obstante, consultar con el remitente en caso de dudas o reportar los correos sospechosos al departamento de TI de la empresa siempre es una buena idea. No debemos tener vergüenza, porque en la ciberseguridad también es mejor prevenir que curar.