Cómo proteger a las empresas y a los particulares de las estafas de phishing, cada vez más sofisticadas

Las empresas, las organizaciones gubernamentales y los particulares son objeto de estafas de phishing cada vez más sofisticadas. Estas estafas -diseñadas para engañar a las víctimas para que revelen información sensible como números de cuentas bancarias, contraseñas y datos de tarjetas de crédito- utilizan una serie de técnicas para lograr sus objetivos maliciosos.

El correo electrónico es un canal clave -junto con las llamadas telefónicas y los mensajes de texto- para las estafas de phishing. Muchos de los primeros correos electrónicos de phishing eran fáciles de detectar debido a la mala gramática y ortografía y a las direcciones de los remitentes que no tenían relación con la persona o la empresa de la que el mensaje decía provenir. Sin embargo, en los últimos años, los estafadores se han apropiado de logotipos, gráficos y textos de organizaciones legítimas -incluidas las principales empresas de telecomunicaciones, bancos, proveedores de electricidad y organizaciones gubernamentales- y han utilizado direcciones de correo electrónico de aspecto más auténtico.

El servicio de asesoramiento sobre seguridad gubernamental Stay Smart Online proporcionó recientemente un ejemplo de una convincente estafa de phishing por correo electrónico. El correo electrónico secuestra la marca legítima de Medicare y el sitio web MyGov para solicitar información como los datos de acceso, las preguntas y respuestas de seguridad del usuario y los datos de la cuenta bancaria.

Los grupos e individuos que están detrás de las estafas de phishing son cada vez más expertos en el uso de técnicas de ingeniería social para extraer información de los usuarios. Estas técnicas pueden utilizarse en los tipos de ataque denominados "spear phishing" o "whaling". La Comisión Australiana de la Competencia y el Consumidor describe estos ataques como dirigidos a "empresas que utilizan información específica de la empresa que ha sido obtenida en otro lugar". Los estafadores suelen hacerse pasar por ejecutivos de la empresa para convencer a otras personas de la misma de que revelen información sensible o financiera.

Entonces, ¿cómo pueden las empresas y organizaciones gubernamentales minimizar el riesgo que el phishing representa para sus operaciones y para sus empleados en contextos empresariales y personales? Un paso clave es educar a la gente sobre la amenaza que suponen las estafas de phishing. Las empresas también deben implantar procesos para el tratamiento y la divulgación de información sensible o financiera que aborden los riesgos que presenta el spear phishing o la caza de ballenas. Por último, deben desplegar filtros sofisticados como parte de una plataforma integral de seguridad del correo electrónico para minimizar el riesgo de que entren correos electrónicos fraudulentos en el entorno empresarial.

Si quiere saber más, póngase en contacto con Roger en info@firstwave.com.au