Más del 90% de los ataques de phishing llegan por correo electrónico, por lo que sus empleados deberían estar al tanto de ellos y saber cómo informar de uno cuando lo reciben. A pesar de este movimiento hacia una cultura más consciente de la seguridad dentro de las organizaciones, los ciberdelincuentes se están volviendo cada vez más inteligentes en sus formas de engañar.
Con la llegada de la pandemia y más gente teletrabajando, los ataques cibernéticos de phishing casi se duplicaron en frecuencia, por lo que es importante conocer qué es el phishing para poder reconocerlo y no caer en esta estafa para la que no existe antivirus y hace que la víctima sea la que entregue sus datos "voluntariamente".
De todas formas, además del e-mail existen otras formas de hackear redes sociales o cuentas, en este artículo de hackear facebook se exponen los principales métodos que debes conocer para aprender a proteger bien tus cuentas.
¿Qué es el phishing?
El 80% de las organizaciones experimentaron ataques de phishing o ransomware en el último año por lo que es necesario saber qué es la ingeniería social, cómo funciona y cómo evitar un ataque cibernético de este tipo.
La conciencia de seguridad, o la falta de ella entre los empleados, es la razón principal por la que los ataques de phishing son tan populares, ya que los equipos de TI y seguridad luchan por reconocer las campañas más frecuentes y sofisticadas por sí solas. Junto con el aumento del ransomware como servicio (RaaS) y los "kits de phishing" disponibles para los ciberdelincuentes, los usuarios son fácilmente engañados para que crean en la autenticidad del correo electrónico que han recibido.
Los ciberdelincuentes dependen de los pocos destinatarios que abren los correos electrónicos enviados en forma general, utilizando números de envío grandes con la esperanza de que cuantos más correos electrónicos se envíen, más probabilidades tendrán de encontrar a alguien que los abra y haga clic en los enlaces maliciosos o sigan la solicitud para proveer información.
A menudo, a primera vista, los correos electrónicos pueden parecer de fuentes legítimas o remitentes conocidos, o incluso copias al carbón de correos electrónicos recibidos previamente, con una dirección de remitente falsa en lugar de la original, lo que hace que sea muy difícil darse cuenta de su mala intención. Sin embargo, hay formas en que los empleados pueden reconocerlos, por lo que aquí hay algunas señales claras a las que debes prestar atención:
Trucos para identificar virus de phishing
1. No tienes una cuenta con esa empresa.
Si recibes un mensaje como "¡Actualice su cuenta de PayPal!" pero ni siquiera tienes una cuenta con la empresa, eso es una gran señal de alerta.
Si bien puedes hacer una pausa para pensar, "¿Qué pasa si alguien abre una cuenta a mi nombre?" todavía no quieres abrir este correo electrónico. Ve directamente a la empresa en cuestión y solicita ayuda.
2. La cuenta de correo electrónico no está conectada a la empresa.
¿Qué sucede si tienes una cuenta de PayPal, pero no está conectada a la cuenta de correo electrónico donde has recibido el mensaje? Si nunca le has dicho a la empresa sobre tu otra cuenta de correo electrónico, no deberían enviar correos electrónicos a esa cuenta.
Es así de simple. ¡Borra!
3. La dirección de correo electrónico de retorno no es normal.
Esta es una de las más fáciles de pasar por alto, pero una de las formas más seguras de detectar un correo electrónico falso.
Si recibes un correo electrónico de una empresa conocida, el correo electrónico debe provenir directamente de esa empresa. Si es una factura de Netflix, debería provenir de algo como billing@netflix.com
Si hay letras o números adicionales en la dirección de correo electrónico de retorno, no es legítimo. Incluso si hay un error menor como billing@netflex.com, es un truco.
4. El correo electrónico pide que confirmes la información personal.
Probablemente hayas escuchado esto antes: las empresas de renombre nunca solicitarán información personal como tu número PIN, números de cuenta u otros detalles de la cuenta por correo electrónico.
Incluso si todo lo demás en el correo electrónico parece legítimo, esta es una bandera roja gigante. Nunca hagas clic en un vínculo de un correo electrónico que no esperabas y proporciones información personal.
5. El correo electrónico está mal redactado.
Los errores tipográficos ocurren. Eso no es exactamente de lo que estamos hablando aquí. Estamos hablando de palabras que faltan constantemente o de oraciones mal redactadas, que son señales claras de que un hablante no nativo de español escribió el correo electrónico.
Las empresas de renombre no permiten que eso suceda. Tienen editores y correctores de pruebas que verifican que sus correos electrónicos se vean profesionales antes de enviarlos.
6. Hay un archivo adjunto sospechoso.
Los archivos adjuntos son bastante comunes, por lo que no nos preocupamos demasiado por ellos, pero deberíamos hacerlo.
Si ves un correo electrónico con un archivo adjunto inesperado, sospecha. La mayoría de las empresas de renombre te pedirán que descargues archivos de su sitio web y no te enviarán un archivo adjunto.
7. El mensaje es muy urgente.
Una táctica favorita de las estafas de phishing es presionar de inmediato. El correo electrónico puede afirmar que no has realizado un pago, que le debes dinero al gobierno o que te has registrado en tu computadora portátil.
Estas tácticas están destinadas a hacerte entrar en pánico y apresurarte a responder a la situación, lo que significa que harás clic en sus enlaces para llegar al final.
No respondas a correos electrónicos de alta presión a menos que sepas el motivo por el que has aparecido. Incluso si te atrasas en el pago de tu tarjeta de crédito y recibes un correo de la compañía de tu tarjeta de crédito, no uses un enlace de ese correo electrónico para pagar o ingresar información. Ve directamente al sitio web.
8. El correo electrónico no usa tu nombre en el saludo.
¿Te suena esto familiar? "Estimado cliente" o "Saludos, amigo". Sí, esto es un claro indicio de que un correo electrónico no proviene de una fuente que conoces o con la que trabajas con regularidad.
Cualquier empresa con la que tenga una cuenta debe conocer tu nombre y usarlo en los correos electrónicos. Eso es algo estándar. Si no te saluda por tu nombre, el remitente no te conoce y probablemente tú no lo conoces (y no quieres hacerlo).
9. Todo el correo electrónico es un hipervínculo.
Si su cursor se convierte en la mano que señala sin importar dónde se encuentre en el correo electrónico, todo el correo electrónico es un hipervínculo gigante. ¿Por qué? Si todo el correo electrónico es un hipervínculo, cualquier clic aleatorio del mouse envía el virus o malware del remitente.
10. El correo electrónico es de dominio público.
Si recibes un correo electrónico que dice ser de una empresa que conoces y en la que confías, pero la dirección de correo electrónico del remitente es de un dominio público como @ gmail.com o @ outlook.com, esta es otra señal de alerta.
Las empresas que envían correos electrónicos con frecuencia tienen sus propios nombres de dominio, y todos los correos electrónicos deben provenir de ese dominio. Si Jill dice ser de Vodafone, pero su correo electrónico es Jillydill@yahoo.com, sabrá que es al menos spam, pero muy probablemente un intento de phishing.
¿Qué debes hacer si no estás seguro?
Si recibes un correo electrónico desconcertante, haz una pausa antes de hacer algo con él. Repasa esta lista y busca pistas. Si aún no estás seguro, lo mejor que puedes hacer es comunicarte directamente con la empresa en cuestión, no a través de ese correo electrónico.
Ve directamente al sitio web de la empresa o llama a la empresa y explica lo que has visto en el correo electrónico.
Es posible que avises a la empresa de un plan de fraude que desconoce. También puedes saber que el correo electrónico es legítimo. De cualquier manera, al comunicarse directamente con la empresa, has evitado el riesgo innecesario de un ataque de phishing.