El phishing es una constante en el panorama de la seguridad digital. "Es casi tan antiguo como la propia Internet y sigue siendo una forma muy eficaz de atacar a particulares y empresas", afirma Ondrej Kubovic, especialista en concienciación de seguridad de ESET. A pesar de que esta amenaza existe desde hace tanto tiempo, el phishing puede sorprender a empleados, gerentes, administradores de TI y profesionales. Esto es lo que debes saber sobre los últimos avances en phishing.
Los filtros de phishing no pueden evitar todos los ataques
A pesar de que muchas empresas utilizan filtros de phishing, las campañas siguen consiguiendo su objetivo. Aunque la concienciación haya mejorado en algunos aspectos, muchas personas siguen cayendo en la trampa del phishing: "La gente se ve atraída a hacer clic en enlaces maliciosos, rellenar formularios aparentemente fiables o introducir sus credenciales en páginas de inicio de sesión falsas. Parte del problema es que no saben distinguir una URL falsa de una legítima", resume Ondrej Kubovic. Al mismo tiempo, los atacantes han mejorado sus métodos de ataque, apoyándose en técnicas como la suplantación de identidad y los ataques a la cadena de respuesta. Gracias a la mejora de las traducciones, la mala gramática y el estilo son cada vez más cosa del pasado, lo que hace más difícil que los empleados detecten los mensajes de phishing.
Como resume Ondrej Kubovic: "No se puede formar a todos los empleados para que identifiquen todos los ataques de phishing. Los atacantes sólo necesitan que unos pocos empleados cometan un error y divulguen la información que necesitan para lanzar un ciberataque serio". Varias de las recientes brechas de alto perfil, como en el caso de Dropbox, se han rastreado hasta el error de una sola persona."
La principal detección en 2022 fue una forma de phishing
Según la telemetría de ESET, en 2022, la principal detección global fue HTML/Phishing.Agent con casi el 19% de los ataques. Estas cifras crecieron en los tres primeros meses de 2023, alcanzando el 37,5%.
A medida que el trabajo híbrido se convirtió en la norma para muchas empresas, los ciberdelincuentes se adaptaron y comenzaron a imitar las herramientas utilizadas para el trabajo remoto. Los temas de phishing más populares van desde DHL y WeTransfer hasta DocuSign, Microsoft Office y Microsoft Outlook. Una artimaña de phishing eficaz son los mensajes falsos del departamento informático pidiendo a los empleados que cambien sus contraseñas. "Algunos atacantes incluso utilizan partes del reclamo de la empresa o hacen un uso indebido de la marca oficial, para que el ataque parezca digno de confianza", advierte Kubovic.
El phishing es antiguo, pero no hay que subestimarlo
Aunque el phishing pueda parecer anticuado y se hable de él con demasiada frecuencia, no hay que subestimarlo. El consejo para los especialistas en TI es: "Informe a sus empleados si hay una campaña de phishing en curso contra la empresa y asegúrate de que saben cómo informar de cualquier contenido o comportamiento sospechoso. Si se ha producido un incidente, analiza si hubo un error humano al principio del ataque y, si es así, utilízalo como material de formación", recomienda Kubovic. Cuanto antes se detecte un ataque de phishing, más posibilidades tendrá la empresa de evitar pérdidas de datos y perjuicios económicos.
Una empresa con recursos limitados puede plantearse externalizar su seguridad informática: "Las empresas que carecen de capacidades internas de seguridad pueden contratar a un proveedor de servicios gestionados (MSP) que se encargue de su seguridad digital, o al menos, de algunas partes de ella", dice Kubovic. Los MSP pueden ofrecer un nivel superior, pero sólo si las responsabilidades y los aspectos específicos del servicio se establecen correctamente en el contrato.
A medida que los MSP se convierten en objetivos cada vez más populares -como la firma de tecnología empresarial Kaseya en 2021-, tu empresa podría convertirse en víctima indirecta de un ataque a la cadena de suministro. Por ello, es crucial verificar qué hace el MSP para prevenir un escenario así, y los planes, en caso de que ocurra. "Antes de elegir a tu MSP, identifica los datos y sistemas críticos para tu negocio, y asegúrate de que el contrato cubre la protección y potencial recuperación", sugiere Ondrej Kubovic, de ESET. "Al final, los MSP son responsables de su seguridad y de la tuya. Como socio crucial, deberían ser tan fiables como tus expertos internos".