+52 81-8349-6925 whatsapp 81-8349-4525 Horario de lunes a viernes de 8:00 am a 18:00 pm
Soporte

Multicomp S.A. de C.V.

Seguridad - Infraestructura y Administración en TI

Por

En nuestra última entrega de la Guía de Ciberseguridad hablamos sobre evitar los ataques de Pishing.

En un ataque típico de phishing, los estafadores enviaran correos electrónicos falsos a miles de personas, solicitando información confidencial (como datos bancarios) o que contengan enlaces a sitios web riesgosos. Podrían tratar de engañarle para que envíe dinero o robar sus datos para venderlos, o puede que tengan motivos políticos o ideológicos para  querer acceder a la información de su empresa.

Los correos electrónicos de phishing son cada vez más difíciles de identificar, y algunos todavía pasarán incluso a los usuarios más observadores. Cualquiera que sea su negocio, por más grande o pequeño que sea, es seguro que recibirá ataques de Pishing en algún momento.

En esta sección comentaremos algunos pasos sencillos para ayudarlo a identificar los ataques de phishing más comunes, pero tenga en cuenta que existe un límite en lo que puede esperar que hagan sus usuarios.

  1. Configure las cuentas de usuarios para minimizar el impacto de un ataque exitoso.

Recuerde que debemos configurar las cuentas de su personal de antemano utilizando el principio de «privilegios mínimos». Esto significa otorgar al personal el nivel más bajo de derechos de usuario necesarios para realizar su trabajo, por lo que si éste es víctima de un ataque de phishing, el daño potencial se reduce.

Para reducir aún más el daño que puede causar el malware o la pérdida de los datos de inicio de sesión, asegúrese de que su personal no navegue por la web ni consulte los correos electrónicos desde una cuenta con privilegios de administrador. Una cuenta de administrador es una cuenta de usuario que le permite realizar cambios que afectarán a otros usuarios. Los administradores pueden cambiar la configuración de seguridad, instalar software y hardware, y acceder a todos los archivos en la computadora. Por lo tanto, un atacante que tenga acceso no autorizado a una cuenta de administrador puede ser mucho más perjudicial que acceder a una cuenta de usuario estándar.

Utilice la autenticación de dos factores (2FA) en sus cuentas importantes, como el correo electrónico. Esto significa que incluso si un atacante conoce sus contraseñas, no podrá acceder a esa cuenta.

  1. Piense y analice la forma en la que opera.

Considere las formas en que alguien podría dirigirse a su organización y asegúrese de que todo su personal comprenda las formas normales de trabajo, especialmente en lo que respecta a la interacción con otras organizaciones, de modo que estén mejor preparados  para detectar solicitudes fuera de lo común.

Los trucos comunes incluyen enviar una factura por un servicio que no ha solicitado, por lo que cuando se abre el archivo adjunto, el malware se instala automáticamente sin su conocimiento en su computadora. Otra es engañar al personal para que transfiera dinero o información enviando correos electrónicos que parezcan auténticos. Piense en sus prácticas laborales habituales y en cómo puede ayudar a que estos trucos tengan menos probabilidades de éxito.

Por ejemplo:

  • ¿Sabe el personal qué hacer con solicitudes inusuales y dónde obtener ayuda? Pregúntese si alguien que se haga pasar por una persona importante (un cliente o gerente) por correo electrónico debe ser cuestionado (o verifique su identidad de otra manera) antes de que se tomen medidas.
  • ¿Entiende sus relaciones comerciales habituales? Los estafadores a menudo envían correos electrónicos de suplantación de identidad (phishing) de grandes organizaciones, como por ejemplo bancos, con la esperanza de que algunos de los destinatarios del correo electrónico tengan una conexión con esa empresa. Si recibe un correo electrónico de una organización con la que no hace negocios, trátelo con sospecha.
  • Piense en cómo puede alentar y apoyar a su personal para que cuestione solicitudes sospechosas o simplemente inusuales, incluso si parecen ser de personas importantes. Tener la confianza para preguntar «¿es esto genuino?» Puede ser la diferencia entre mantenerse seguro o un percance costoso.
  • También puede considerar observar cómo se ven sus comunicaciones salientes a los proveedores y clientes. Por ejemplo, ¿envía correos electrónicos no solicitados solicitando dinero o contraseñas? ¿Se confundirán sus correos electrónicos con correos electrónicos de phishing o dejarán a las personas vulnerables a un ataque que ha sido diseñado para parecerse a un correo electrónico suyo? Considere decirle a sus proveedores o clientes lo que deben buscar como por ejemplo: “nunca le pediremos su contraseña” o “nuestros datos bancarios no cambiarán en ningún momento”

  1. Busque por las señales más comunes del Pishing

Esperar que su personal identifique y elimine todos los correos electrónicos de phishing es una solicitud imposible y tendría un efecto perjudicial enorme en la productividad empresarial. Sin embargo, muchos correos electrónicos de phishing aún se ajustan al molde de un ataque tradicional, así que busque las siguientes señales de advertencia:

  • Muchas estafas de phishing se originan en el extranjero y, a menudo, la ortografía, la gramática y la puntuación son deficientes. Otros intentarán crear correos electrónicos de apariencia oficial al incluir logotipos y gráficos. ¿El diseño y la calidad es lo que esperaría de una gran organización?
  • ¿Está dirigido a usted por su nombre o se refiere a ‘cliente valioso’, ‘amigo’ o ‘colega’? Esto puede ser una señal de que el remitente realmente no lo conoce y de que es parte de una estafa de phishing.
  • ¿El correo electrónico contiene una amenaza velada que le pide que actúe con urgencia? Sospeche de palabras como «envíe estos detalles en 24 horas» o «ha sido víctima de un delito, haga clic aquí de inmediato».
  • Esté atento a los correos electrónicos que parecen provenir de una persona de alto rango dentro de su organización, solicitando que se realice un pago a una cuenta bancaria en particular. Mira el nombre del remitente. ¿Suena legítimo o está tratando de imitar a alguien que conoce?
  • Si suena demasiado bueno para ser verdad, probablemente lo sea. Es muy poco probable que alguien quiera darte dinero o darte acceso a una herencia o a alguna parte secreta de Internet.

Los servicios de filtrado de correo electrónico intentan enviar correos electrónicos de phishing a carpetas de correo no deseado. Sin embargo, las reglas que determinan este filtrado deben ajustarse a las necesidades de su organización. Si estas reglas son demasiado abiertas y los correos electrónicos sospechosos no se envían a las carpetas de correo no deseado / basura, los usuarios tendrán que administrar una gran cantidad de correos electrónicos, aumentando su carga de trabajo y dejando abierta la posibilidad de hacer clic. Sin embargo, si sus reglas son demasiado estrictas, algunos correos electrónicos legítimos podrían perderse. Puede que tenga que cambiar las reglas con el tiempo para garantizar el mejor compromiso.

  1. Invite a su personal a reportar cualquier ataque.

Asegúrese de alentar a su personal a pedir ayuda si creen que podrían haber sido víctimas de phishing, especialmente si no lo han mencionado antes. Es importante tomar medidas para buscar software malicioso y cambiar las contraseñas lo antes posible si sospecha que se ha producido un ataque con éxito.

No castigue al personal si lo descubren, esto desalienta a las personas a informar en el futuro y puede hacer que se sientan tan temerosos que dediquen demasiado tiempo y energía a analizar cada correo electrónico que reciben. Ambas cosas causan más daño a su negocio a largo plazo.

  1. Busque la huella digital del ataque

Los atacantes utilizan información disponible públicamente sobre su organización y su personal para hacer que sus mensajes de phishing sean más convincentes. Esto a menudo se obtiene de su sitio web y cuentas de redes sociales, información conocida como ‘huella digital’.

Comprenda el impacto de la información compartida en el sitio web y las páginas de redes sociales de su organización.

  • ¿Qué necesitan saber los visitantes de su sitio web y qué detalle es innecesario, pero podría ser útil para los atacantes?
  • Sea consciente de lo que sus socios, contratistas y proveedores publican sobre su organización en línea.
  • Ayude a su personal a comprender cómo el hecho de compartir su información personal puede afectarlos a ellos y a su organización. No se trata de esperar que las personas eliminen todo rastro de sí mismas de Internet. En cambio, apóyelos mientras administran su huella digital, dando forma a su perfil para que funcione para ellos y para la organización.

Como vemos, la ciberseguridad de su empresa no es tarea de fácil ni de una sola persona. Un aspecto importante es la educación que damos a nuestros colaboradores sobre el tema y sobre la importancia de poner en práctica las medidas que como organización se tomen con el fin de evitar ataques o ser víctimas de la Ciberdelincuencia.

Recuerde que el implementar las acciones que hemos compartido en estos 5 artículos de la GUIA DE CIBERSEGURIDAD PARA LA PYME puede ayudarle a reducir significativamente la posibilidad de ser víctima de la Ciberdelincuencia

 

guia-de-ciberseguridad-para-la-pyme-uso-de-contrasenas-para-proteger-la-informacion/

guia-de-ciberseguridad-para-la-pyme-mantener-dispositivos-moviles-seguros/

guia-de-ciberseguridad-para-la-pyme-protegerse-del-malware/

guía-de-ciberseguridad-para-la-pyme-respaldo-de-datos-backup/

 

 

 

Abrir chat
Buen día.
¿En qué podemos ayudarte?