Blog Interbel

Email + Work Management + Ciberseguridad

Correo de Phishing: cómo reconocerlo y evitar dolores de cabeza.

Ya estamos en el 2022, y el Phishing está más vivo que nunca. Al día de la fecha, parece que los correo maliciosos siguen siendo una de las estratagemas favoritas de los ciberdelincuentes para robar tu información. Por lo tanto, es recomendable que tanto tú como tus empleados desarrollen la habilidad de reconocerlos y evitarlos, para protegerse de pérdidas económicas y dolores de cabeza. Veamos qué podemos hacer para que un correo de phishing no nos arruine el año. ¡Acompáñame!

Tabla de contenidos.

Ejemplos de correos de phishing.

Phishing y protección de nuestros datos. Imagen de un teclado.
Siempre hay individuos dispuestos a «pescar» nuestra información privada.

Los correos electrónicos de phishing parecen siempre provenir de una fuente legítima. Los ciberdelincuentes ocultan su presencia en pequeños detalles como la URL del remitente, un enlace de archivo adjunto de correo electrónico y más. Ahora veremos algunos ejemplos de los tipos de correo de phishing con los que te puedes encontrar:

Suplantación de identidad (spear phishing).

Primero, los delincuentes recopilan datos de su víctima. Por lo general, los correos electrónicos de phishing selectivo utilizan un lenguaje urgente y familiar para alentar a la víctima a actuar de inmediato.

Manipulación de enlaces y sitios web falsos.

Este tipo de ataque incluye un enlace a un sitio popular. Este enlace lleva a las víctimas a una versión falsificada del mismo, diseñada para parecerse a la real, y les pide que confirmen o actualicen sus credenciales.

Fraude del director ejecutivo.

Se utiliza una dirección de correo electrónico que le resulta familiar a la víctima, como la del director ejecutivo de la organización. El correo le pide urgentemente a la víctima que actúe y transfiera fondos, actualice los detalles del empleado o instale una nueva aplicación.

Secuestro de sesión.

Con este ataque de phishing avanzado, los delincuentes obtienen acceso al servidor web de una empresa y roban la información confidencial almacenada en el servidor.

Malware.

Todo lo que se necesita para instalar software malicioso es hacer clic en un archivo adjunto. ¡Mucho cuidado con ésto!

Wi-Fi “Gemelo Malvado”.

Esto ocurre cuando se falsifican los puntos de acceso Wi-Fi gratuitos. Las víctimas, sin saberlo, inician sesión en el punto de acceso Wi-Fi incorrecto. Por eso recomendamos, siempre que sea posible, evitar los puntos de acceso públicos.

Phishing móvil (Smishing).

Es igual que los anteriores, pero llega a tu móvil. El mensaje incluye un enlace que se utiliza para robar la información personal de la víctima o instalar malware en el dispositivo móvil.

Phishing de voz (Vishing).

Esto ocurre cuando una persona que llama deja un mensaje de voz instando enérgicamente a llamar a otro número de teléfono. Estos mensajes de voz son urgentes y convencen a la víctima, por ejemplo, de que su cuenta bancaria será suspendida si no responde.

Malvertising.

Esta técnica de phishing utiliza anuncios en línea o ventanas emergentes para obligar a las personas a hacer clic en un enlace de apariencia válida, que luego instala malware en su ordenador.

Pruebas que pueden realizar los empleados.

Correo de phishing: un buen entrenamiento evitará que los empleados cometan errores que podrían traer trágicas consecuencias.
Correo de phishing: un buen entrenamiento evitará que los empleados cometan errores que podrían traer trágicas consecuencias.

En las pruebas de phishing, los profesionales de seguridad y TI crean y envían un correo electrónico simulado a los empleados para ayudarlos a identificar enlaces maliciosos en los que, si se hace clic, podrían filtrar datos confidenciales o provocar daños en los sistemas de la empresa.

Ayudar a los empleados a aprender a evitar ataques de phishing costosos y dañinos, a través de capacitación y pruebas internas de phishing, es vital para proteger una empresa.

El problema es cuando el objetivo del departamento de seguridad de TI no es brindar una oportunidad de aprendizaje sino engañar a los empleados y luego avergonzarlos cuando se equivocan.

La capacitación en seguridad cibernética debe ser atractiva e impactante para cambiar el comportamiento, pero no debe ser denigrante ni de mano dura. Si el tono de la capacitación es positivo, reforzador y divertido, el empleado se sentirá informado en lugar de castigado.

Nuestra recomendación es utilizar refuerzo positivo. Ofrece un premio si, por ejemplo, el 80% de un equipo detecta un correo de phishing. Puede ser un café o 15 minutos extra de descanso. Sin importar el premio, será un aliciente positivo.

Algunas empresas recurren a competencias basadas en equipos para crear culturas positivas de ciberseguridad. Hacerlo en forma de juego alienta a los empleados a prestar atención para hacerlo bien y lograr insignias y reconocimiento. No se debe señalar a los usuarios con un desempeño deficiente, sino alentarlos en privado a aprender de los errores.

Guía para reconocer un correo de phishing.

Los estafadores usan correos electrónicos o mensajes de texto para engañarte y que les des tu información personal. Pueden intentar robar tus contraseñas o números de cuenta bancaria. Te sorprenderá saber que los estafadores lanzan miles de ataques de phishing como estos todos los días y, a menudo, tienen éxito.

Veamos qué características tiene un correo de phishing. Probablemente, presente una (o varias) de las siguientes:

  • Parece que el correo electrónico es de una empresa que quizás conozcas y en la que confíes, como Netflix. Incluso usará un logotipo y un encabezado de Netflix.
  • El correo electrónico dice que tu cuenta está suspendida debido a un problema de facturación.
  • El correo electrónico tiene un saludo genérico, «Hola querido». Si tienes una cuenta con la empresa, probablemente no usaría un saludo genérico como este.
  • El correo electrónico te invita a hacer clic en un enlace para actualizar tus detalles de pago.

 

Ejemplo de phishing y qué buscar
Ejemplo de phishing y qué buscar.

Si bien el correo electrónico puede parecer real, no lo es. Los estafadores que envían correos electrónicos con estas características no tienen nada que ver con las empresas que pretenden ser. Los correos electrónicos de phishing pueden tener consecuencias reales para las personas que brindan su información a los estafadores.

¿Quieres probar el software de simulacro de Phishing?

Probablemente, la idea de poder entrenar a tus empleados para evitar pérdidas haya despertado tu curiosidad, !Y no es para menos! Y más lo harás cuando sepas que USecure automatiza simulaciones de phishing periódicas que evalúan el riesgo humano de nuevas técnicas de ataque. Esto incluye:

  • Simulaciones automatizadas de Phishing: Ahorra tiempo y evalúa las brechas de seguridad en tu equipo.
  • Biblioteca de plantillas: Genera en minutos un simulacro muy eficiente de phishing.
  • Constructor de cursos personalizados: Involucra a los usuarios para mejorar en los aspectos débiles de cada objetivo en ciberseguridad.

¡No esperes más! Pincha en el enlace de abajo y agéndate una demo totalmente gratuita.