Los ataques de Phishing campan a sus anchas con más libertad que nunca. Creciendo a tasas del 162% desde 2010 suponen un coste a las organizaciones de más de 4 mil millones de euros al año. Para ilustrar esta lacra, señalar que de media el 50% de los usuarios reciben un email fraudulento al día.
La primera defensa de las organizaciones es contar con un buen sistema de filtrado de email que restrinja la entrada de correos remitidos desde servidores y usuarios no verificados. Pero no es suficiente: cada vez los ataques son más sofisticados y la verificación de los mismos no es infalible.
Así pues seguirán entrando emails fraudulentos en nuestras bandejas y hasta el 97% de los usuarios no será capaz de detectar un ataque si es suficientemente sofisticado. Es en este punto cuando entra en juego la educación en seguridad del usuario.
Aquí van 10 consejos prácticamente infalibles para detectar el phishing:
- Revisa el nombre y dirección de email del remitente. Imagina que recibes un email de tu banco aparentemente real. Verifica que su dominio sea el verdadero. Es decir Banco Finanzas tendrá un dominio bancofinanzas.com; desconfía si el dominio es bancoseguro.com.
- Revisa el asunto del email. ¿Es el habitual para el tipo de mensaje que recibes de ese remitente? ¿Incluye palabras o caracteres infrecuentes? Si solo revisamos nombre de usuario y dirección pero olvidamos fijarnos en el asunto podemos ser víctimas de un engaño.
- No hagas clic en links del cuerpo del email al más mínimo rastro de sospecha. Por definición hay que evitar clic si no está justificado.
- Revisa la gramática y la ortografía. Normalmente las marcas serias y reconocidas no cometen fallos de este tipo. Malsonancias, falta de concordancia o traducciones automáticas dejan rastro.
- Revisa la cabecera del email: un «estimado usuario» puede ser la primera pista del fraude. Normalmente las comunicaciones corporativas personalizan las cabeceras con tu nombre: Estimado José…
- Analiza qué información te pide el email. Es extremadamente extraño que una empresa te solicite datos personales en un email. Desconfía de este tipo de peticiones.
- No entres en pánico si el asunto de un email es algo parecido a: «se requiere su colaboración con urgencia», «ingrese inmediatamente a su panel de usuario» o «hemos detectado un acceso no autorizado que requiere de su atención». Estos son reclamos muy empleados para favorecer que hagamos clic en enlaces fraudulentos.
- Revisa la firma del email. Un correo electrónico legítimo incluirá una firma al pie y los datos de contacto del remitente. Un ataque phishing sofisticado también, pero es necesario que revises si se trata de tu interlocutor habitual o si algunos de los datos de contacto son sospechosos o demasiado ambiguos.
- Sé extremadamente cauto con los adjuntos. Si no esperas un archivo adjunto de ese remitente no te arriesgues a abrirlo. Puedes desencadenar un ataque de robo de credenciales, espionaje o uso fraudulento de recursos del sistema.
- No creas todo lo que ves: dominios que usan caracteres similares para disfrazar direcciones falsas, asuntos y nombres aparentemente normales, logos y diseños perfectos… los ataques son cada vez más sofisticados. Es imprescindible que ante la más mínima duda no lo abras, pero todavía más importante: no hagas clic en ningún lado.
Esperamos que estos consejos os sean útiles y ayuden a vuestras organizaciones a estar más seguras. No obstante, defenderse del Phishing precisa de algo más que unos consejos: por un lado es muy importante contar con soluciones de filtrado del correo que reduzcan la cantidad de SPAM y phishing que llega a nuestros emails. En segundo lugar, y para todos aquellos ataques que han burlado la seguridad del email necesitamos la capa de seguridad humana: es decir el discernimiento de cada persona cuando recibe un email. Esta capa de seguridad tiene que ser formada y entrenada con cierta periodicidad y para ello nada mejor que las soluciones de formación en Phishing de Metafrase.
