Construir una cultura de la seguridad: Consejos prácticos para detectar un phishing

Existen tecnologías para limitar y detectar el número de correos electrónicos de phishing que llegan a tu empresa. Aun así, los humanos son la última línea de defensa contra los ataques de ingeniería social como este, al final del día. 

En algún momento, vas a “ser vencido” como empleador o MSP. En lugar de bloquear todo y ralentizar las comunicaciones empresariales, el personal, desde la cúpula directiva hacia abajo, debes estar equipado para identificar los correos electrónicos de phishing, de modo que lo peor ocurra en un entorno de formación y no en el real

Para empezar, los empleados deben ser educados en los elementos que componen un ataque de phishing de ingeniería social y cómo pueden ser conscientes de dónde se publica su información en Internet. 

Elementos de un phishing de ingeniería social

Examinar tu huella digital

Los mejores ciberdelincuentes se tomarán su tiempo para hacer los deberes a su próxima víctima. Si se recorren las redes sociales asociadas al nombre de la persona y se busca en Google cualquier información disponible sobre la posible víctima, se puede reconstruir la información sobre los hábitos del individuo.

En el caso de los hacks de ingeniería social más grandes, me imagino que las cosas empiezan a parecerse a esto:

Algunos ejemplos son los lugares que frecuentan, como el gimnasio o el restaurante favorito, e incluso la recopilación de información personal como la fecha de nacimiento o la dirección del domicilio.

Imagina que publicas repetidamente en las redes sociales lo mucho que te gusta una cafetería local. Es posible que, mientras lees este artículo, estés leyendo un post sobre esa cafetería local. 

El atacante podría crear un correo electrónico de phishing convincente que parezca ser un código de cupón procedente de esa cafetería local o de un proveedor con el que se asocian.

Con este tipo de información flotando en la red, las víctimas son más propensas a caer en estafas que aprovechan este tipo de información personal. 

Crear presión social para hacer clic

“El comportamiento humano es difícil de cambiar. Los seres humanos siempre son vulnerables a ciertas cosas y a medida que surgen los acontecimientos actuales cambia la forma en que las personas son vulnerables y cómo reaccionan”

 

Connor Swalm, CEO & Fundador de Phin Security

 

En muchos casos, los atacantes utilizarán la presión social para que el usuario medio haga clic sin pensárselo dos veces. 

Algunos ejemplos de esto son los correos electrónicos de phishing, incluyendo las peticiones de un ejecutivo a un nuevo empleado durante sus primeras semanas de trabajo

Otros casos pueden basarse más en la emoción aprovechando a un amigo o colega que requiere atención inmediata para salir de una mala situación. 

Ambos ejemplos se apoyan en el uso de la presión social y las crudas emociones humanas para que la víctima priorice el clic sobre su formación en seguridad. 

Consejos prácticos para identificar un phishing

Si ves algo, di algo.

Informar de un posible correo electrónico de phishing debería ser la regla de oro aquí, incluso si el empleado abrió el correo electrónico o descargó un archivo adjunto. Los empleados deben contar con un proceso y un entorno de apoyo a la hora de informar sobre posibles correos electrónicos de phishing que hayan identificado o abierto. 

No hagas que el ambiente sea negativo o que se parezca a una novatada a un empleado cuando denuncie un correo electrónico de phishing. 

En un reciente chat en vivo de MSP que incluía un desafío de phishing de otros profesionales de TI, Connor Swalm, director general de Phin Security, llevó esto aún más lejos al decir

“No hagas que tus empleados sean conscientes de una prueba de phishing en una fecha u hora determinada. Si lo haces, no abrirán ninguno de sus correos electrónicos en esos días, lo que reducirá la eficiencia y la comunicación de la empresa”

 

Connor Swalm, CEO & Fundador de Phin Security

 

Connor habló sobre los riesgos de la “formación en phishing punitivo” en nuestro MSP Live Chat, mira el clip aquí:

Martillo de casa los tipos más comunes de ataques de phishing

Cuanto más familiarizados estén los empleados con todos los tipos de ataques de phishing, mejor armados estarán a la hora de denunciar los auténticos. 

Que la Comisión Federal de Comercio ha elaborado esta lista que describe los tipos más comunes de ataques de phishing. Incluyendo cómo algunos esquemas de phishing de ingeniería social pueden incluir correos electrónicos, mensajes de texto e incluso llamadas telefónicas para recopilar la información necesaria para ejecutar un hackeo. 

Dicho esto, no crees una larga lista técnica de amenazas. En su lugar, traduce las amenazas más comunes, para que sean digeribles desde la cúpula directiva en toda la organización. Los ejemplos del mundo real, como los que se muestran en nuestro chat en vivo de MSP, también ayudan a dar color a la vez que ayudan al personal a relacionarse con la realidad del problema. 

Fomentar la precaución y apoyarse en la política de la empresa cuando sea posible

La política de la empresa en torno a las transferencias de fondos, las comunicaciones del director general y la generación de nuevos inicios de sesión constituyen una excelente guía para que los empleados identifiquen un correo electrónico de phishing. 

De acuerdo con la política de la empresa, supón que las transferencias de fondos puntuales para servicios adicionales no son aceptadas por tu empresa. En ese caso, puede ser una forma sencilla de que un miembro del personal detecte un phishing. 

Además de esto, recomendamos definir en la política lo que los empleados deben esperar en términos de comunicación del director general para las solicitudes urgentes. De esta manera, cuando los nuevos empleados llegan y ven una solicitud urgente en su bandeja de entrada de 600 dólares en tarjetas de regalo de Amazon, saben que el director general no pediría este tipo de cosas por correo electrónico. 

Habitual de MSP Live Chat Ray Orsini, director general de OITVOIP ha explicado este ejemplo sobre las tarjetas regalo para empleados: 

La cultura de la seguridad supera a la formación en seguridad

“La cultura es la fuerza más poderosa de la humanidad” – Kanye West

Todas las empresas deberían programar la formación periódica en materia de seguridad en los calendarios de los empleados, pero cuando la seguridad se convierte en parte de su cultura organizativa, la ha convertido en algo ineludible y siempre presente en la mente de los empleados. 

Mantén las reglas simples y fáciles de entender para que tu equipo sepa lo que se espera de él y que no sólo participe en la defensa de la organización de los malos actores, sino que sea una de las partes más integrales de esa defensa. 

Próximos pasos

Los fundamentos de la seguridad de los dispositivos son esenciales para la seguridad general. NinjaOne facilita la aplicación de parches, el fortalecimiento, la seguridad y las copias de seguridad de todos tus dispositivos de forma centralizada, remota y a gran escala.

También te puede gustar

¿Listo para simplificar los aspectos más complejos de las TI?
×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón “Acepto” que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona “tal cual” y “según disponibilidad”, sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).