Aunque su origen es incierto, porque se les atribuye a dos filósofos ingleses (Francis Bacon y Thomas Hobbes), la frase «la información es poder» nunca deja de tener pleno sentido. Es más, en los últimos años, los diferentes procesos de digitalización han contribuido a reforzar el peso que tiene el conocimiento en la sociedad, ya que Internet ha incrementado de forma exponencial el volumen de datos y de saber existente.
Actualmente, se estima que cada persona genera por minuto 102 Mb de datos en la Red, una cantidad ingente de información que tiene enorme valor. No solo para las administraciones, empresas y organismos, también para los ciberdelincuentes que buscan la forma de hacerse con ellos para rentabilizarlos.
Y una de las mejores formas que tienen de hacerlo es engañar al propio usuario o empresa para que, de una forma u otra, se los facilite. Un objetivo que, en los últimos años, los ha llevado a desarrollar técnicas complejas de fraude digital. De ellas y de cómo evitar el phishing en una empresa queremos hablarte hoy en este artículo.
¿Qué es el phishing a empresas y usuarios?
El phishing es una técnica que utilizan los ciberdelincuentes para suplantar la identidad de una empresa o persona con el objetivo de robar información privada a un tercero. Para ello, simulan ser una entidad legítima (como un banco, una institución pública o una organización) o una determinada persona para engañar a su víctima, ganarse su confianza y lograr que esta realice una acción concreta o proporcione sus datos.
De hecho, el phishing puede enfocarse tanto hacia la obtención de información confidencial y personal, como contraseñas o números de tarjeta de crédito, como hacia la instalación de programas maliciosos (malware) en los dispositivos digitales, para que, una vez ejecutados, les brinden acceso a estos datos.
Tipos de phishing a empresas y usuarios
Como hemos señalado, el concepto que está detrás de todas las formas de phishing es la suplantación de la identidad. Pero, a la hora de llevarlo a la práctica, los cibercriminales han desarrollado diversas técnicas para conseguir sus objetivos.
Así, en lo referido al phishing con empresas o usuarios, podemos encontrar:
- Phishing de correo electrónico: es el método clásico, consistente en que el atacante envía un mail que parece legítimo para engañar al destinatario y lograr que haga alguna acción concreta, como proporcionar información, descargarse un fichero infectado o hacer ‘clic’ en un enlace con malware.
- Smishing: el procedimiento es similar al utilizado mediante el correo electrónico, solo que en este caso se vale de una aplicación de mensajería o de un SMS para comunicarse con su víctima.
- Vishing: la suplantación de identidad se realiza mediante la voz, de forma que el cibercriminal usa el teléfono para hacerse pasar por un familiar o alguien de confianza. Este es un sistema que, a raíz de los recientes avances en Inteligencia Artificial, está ganando terreno en los últimos años: solo durante los primeros 8 meses de 2024, INCIBE detectó 48.700 usuarios afectados por esta modalidad.
- Phishing web o HTTPS: el ciberdelincuente crea un sitio web falso en el que se simula una página real de confianza. Posteriormente, trata de convencer a su víctima para que acceda a ella y comparta sus datos. Por eso, es común que en este caso se trate de suplantar las webs de e-commerce y grandes empresas de servicios.
- Phishing de identidad emergente: mediante la presentación de ofertas o de supuestas ventanas de información, el criminal busca convencer al usuario para que haga ‘clic’ y se descargue un archivo malicioso. Es frecuente que se utilice la excusa de la detección de un virus o un problema de seguridad en la computadora para animarle a que instale un programa que, supuestamente, le ayude a solucionarlo.
- Phishing de suplantación de red wi–fi: consiste en la creación de una red wi-fi falsa para que el usuario se conecte de forma pública a ella. Así, una vez dentro, el ciberdelincuente podrá acceder fácilmente a todos los movimientos del usuario y a toda la información que comparta con la red.
- Phishing de Angler: aquí se utilizan las redes sociales para obtener la información del usuario. Al igual que en el caso del phishing web, se simula un perfil de red social de una empresa determinada para engañar a sus clientes y obtener información cuando estos hacen ‘clic’ en un enlace o comparten información para preguntar o interactuar con la organización.
- Phishing mediante ingeniería social: en este caso la acción es de tipo social, no tecnológico, porque el delincuente trata de manipular psicológicamente a otra persona para que haga algo que le permita acceder a su información: compartir datos, descargan un programa o aplicación, visitar un sitio web falso, enviarles dinero mediante engaños o cometer errores que puedan comprometer su seguridad personal o de la organización a la que pertenecen.
Estrategias de ciberseguridad para evitar el phishing en una empresa
Según el ‘Informe anual de ciberseguridad’ que publicó Fastly en 2023, las empresas españolas perdieron una media del 8 % de sus ingresos por culpa de los ciberataques. No en vano, según otro reporte de Hiscox, en ese mismo año la mitad de las organizaciones del país sufrieron una acción de este tipo; por lo que la prevención es un aspecto básico para no solo implementar medidas de seguridad que las protejan, también para que sus empleados sepan cómo detectar estos intentos y responder ante ellos.
Ante este problema, la gran pregunta es cómo evitar el phishing en una empresa. Y dado que no hay una sola respuesta para ella, aquí te ofrecemos varios consejos para combatirlo y prevenir el fraude basado en la suplantación de identidad.
Utilización de cortafuegos y programas de antivirus y antispam
El uso de filtros y aplicaciones especialmente pensadas para la ciberseguridad de la empresa reduce el impacto de estos ataques. Al tener un buen cortafuegos o antispam, la empresa puede impedir que sus empleados reciban correos o mensajes maliciosos; mientras que la utilización de programas de antivirus o antimalware ayudará a detectar o limpiar los archivos que se instalen en sus sistemas o intenten acceder a ellos.
Actualización de los sistemas, herramientas y aplicaciones de las empresas
Mantener actualizados los sistemas operativos, navegadores, programas y controladores de hardware también proporciona una importante defensa frente al phishing en las empresas. Los cibercriminales no dejan de innovar para conseguir sus objetivos, porque además de desarrollar nuevas técnicas de engaño, también mejoran los códigos maliciosos con los que tratan de infectar los dispositivos de los trabajadores.
Desde esta perspectiva, parchear sus vulnerabilidades y renovar constantemente el firmwarede sus herramientas permite que las empresas estén a la última y no queden expuestas ante brechas o fallos imprevistos.
Encriptación y uso de contraseñas fuertes
Las contraseñas suelen estar entre los principales objetos de ‘deseo’ de los ciberdelincuentes. Usar combinaciones extensas de letras, números y símbolos complicará mucho la labor de los cacos, al igual que emplear métodos de doble autenticación (2FA). Sin olvidar, por supuesto, otras medidas de sentido común, como no compartirlas con otras personas, reutilizarlas o guardarlas en lugares visibles o de fácil acceso.
Y, de igual forma, la utilización de sistemas de cifrado para proteger los mensajes también es un mecanismo muy útil. Básicamente, porque, aunque los cibercriminales logren hacerse con esta información, no podrán leerla ni utilizarla en su beneficio.
Realizar copias de seguridad
Ser víctima de phishing en las empresas puede ser el comienzo de un largo calvario, ya que, si consiguen infiltrarse en sus sistemas, los cibercriminales pueden llevar a cabo nuevos delitos. Es lo que sucede, por ejemplo, con el ransomware, un tipo de ataque en el que el delincuente consigue secuestrar la información de la organización para chantajearla y pedirle dinero para devolvérsela.
De esta manera, las empresas deben contar con copias de seguridad de su información de mayor valor, y alojarlas en la nube o en servidores independientes para que los atacantes no puedan comprometer también su seguridad.
Utilización de tecnología avanzada
Apostar por tecnologías novedosas e innovadoras, como la Inteligencia Artificial o la biometría, permite a la empresa disfrutar de los últimos avances en seguridad digital y cumplir más fácilmente con los requisitos legales y normativos para la gestión y tratamiento de los datos de sus clientes.
Establecimiento de prácticas internas y de protocolos de seguridad
Las organizaciones deben preocuparse activamente por su seguridad y trabajar para evitar ataques como el phishing. Es recomendable que, en el día a día, promuevan los comportamientos responsables entre sus empleados y que les brinden las mejores soluciones para que puedan trabajar en unas condiciones óptimas que impliquen un bajo riesgo.
Contratar soluciones profesionales de seguridad
En seguridad, la experiencia es un aspecto de enorme valor. Únicamente el 61 % de las pymes (de menos de 250 empleados) reconocen sentirse seguras en su preparación en ciberseguridad, dado que consideran que no tienen los conocimientos o los medios suficientes para protegerse adecuadamente.
Así que este es un campo donde la inversión prácticamente garantiza la rentabilidad: gastar dinero para prevenir puede acabar ahorrando a la empresa mucho dinero al evitar pérdidas económicas por el robo o la filtración de datos, la imposición de sanciones o la obligación de pagar indemnizaciones a los usuarios afectados.
Importancia de la formación en ciberseguridad
Al principio hemos señalado que la información es fuente de poder. Y esta es una idea que podemos aplicar también para proteger a las empresas frente a los ciberataques, porque el desconocimiento o la falta de atención son responsables de la gran mayoría de estos incidentes: según un estudio publicado en 2020, aproximadamente 9 de cada 10 filtraciones de datos (88 %) están causadas directamente por errores humanos.
En consecuencia, la inversión en capacitación en seguridad de la plantilla es fundamental para reducir el riesgo de que se produzca un fallo humano. Un esfuerzo que debe realizar la empresa o incluso el propio trabajador, independientemente de su cargo o edad, porque cualquier persona puede ser víctima de un ataque de phishing si no tiene los conocimientos adecuados para detectarlo y rechazarlo.
Fórmate para prevenir el phishing en las empresas en la Escuela de Negocios de la Cámara
Es más, cada vez más organizaciones priorizan la incorporación de profesionales formados en competencias relativas a la Ciberseguridad y el Hacking ético. Tendencia que hemos tenido en cuenta en la Escuela de Negocios de la Cámara de Comercio de Madrid para poner en marcha nuestro Curso Experto en esta materia.
Es una propuesta formativa de enfoque práctico, que se imparte en la modalidad online y para la que no se requiere experiencia previa en seguridad digital. Por lo que cualquier persona que quiera puede matricularse para:
- Adquirir los conocimientos conceptuales y prácticos sobre seguridad para su posterior aplicación en empresas y negocios.
- Desarrollar y dominar habilidades prácticas para realizar auditorías de sistemas intrusivos.
- Conocer los diferentes tipos de atacantes y aplicar diversas técnicas y herramientas para impedir la intrusión de los delincuentes informáticos.
- Orientar las auditorías intrusivas, haciendo uso de las normas y de las buenas prácticas en seguridad de la información a nivel internacional.
Solicita aquí información y conviértete en una pieza clave para evitar el phishing en tu empresa. ¡Porque la ciberseguridad es responsabilidad de todos!