En este artículo vamos a hablar sobre el phishing y sus diferentes versiones, así como el peligro que suponen para una empresa y cómo ésta se puede proteger para no sufrir un ciberataque.
El phishing está cada vez más de moda y los ciberdelincuentes no dudan en llevarlo a cabo. Además, con el desarrollo de nuevas tecnologías, los estafadores han mejorado sus técnicas y sus métodos de ataque, que ahora son más sofisticados.
¿Qué es el phishing?
El phishing es una técnica de ingeniería social con la que se envían correos electrónicos fraudulentos suplantando la identidad de una compañía u organismo público, con el objetivo de engañar a los usuarios para conseguir sus datos personales o bancarios.
Los ciberdelincuentes utilizan muy a menudo esta técnica para robar credenciales a los usuarios. En los correos electrónicos fraudulentos, los ciberatacantes solicitan a sus víctimas información sensible como, por ejemplo, datos personales, cuentas bancarias, credenciales de acceso, etc.
En los mismos correos electrónicos, se incita a las víctimas a pulsar sobre algún enlace o a descargar algún archivo, que les redirige a una página web fraudulenta que puede introducir malware en sus dispositivos o solicitar algún dato.
Si los ciberdelincuentes consiguen la información que quieren, la utilizarán para llevar a cabo fraude, suplantación de identidad o la venderán a terceras personas.
A continuación hablaremos sobre las diferentes versiones de phishing que nos podemos encontrar, siendo todas aparentemente sencillas de desarrollar.
Tipos de phishing
En cuanto a los tipos de phishing, los más importantes son el smishing y el vishing.
El smishing es una versión del phishing en la que el envío de mensajes fraudulentos se realiza a través de SMS. De ahí el nombre de smishing, que proviene de la combinación de “SMS” y “phishing”.
En este caso, los SMS maliciosos suelen suplantar la identidad de bancos, servicios de mensajería, aplicaciones u otros proveedores de servicios, e incitan al usuario a pulsar sobre un enlace.
El vishing es otra versión del phishing en la que se utilizan llamadas telefónicas. De ahí el nombre de vishing, que proviene de la combinación de “voice” y “phishing”.
¿Suponen algún peligro para las empresas?
Si algún empleado sufre un ataque de phishing, smishing o vishing, puede suponer un grave problema para la empresa.
Si los ciberdelincuentes consiguen las credenciales de acceso, podrían entrar a los servicios en los que se utilicen esas credenciales y conseguir la información existente en ellos. Esto podría derivar en la pérdida de información.
Si una empresa sufre un ataque y pierde información, esto podría tener un impacto reputacional y provocar la pérdida de confianza de sus clientes y sus proveedores. Además de las repercusiones legales que pueda implicar.
Consejos para las empresas
Con respecto a estos tipos de ciberataques, lo fundamental es centrarse en los empleados, ya que son los que pueden caer en la trampa.
Es recomendable formar a los empleados sobre estos ataques y asegurarse de que están concienciados sobre la importancia de la ciberseguridad en la empresa. Asimismo, se les debe enseñar las pautas principales para identificar este tipo de correos electrónicos, SMS o llamadas fraudulentas.
Además, se deben tener siempre los sistemas actualizados y realizar copias de seguridad de forma periódica.
Por último, es importante utilizar un doble factor de autenticación e instaurar una política de contraseñas que obligue a cambiarlas regularmente.