Comprender la importancia de la ciberseguridad es ahora más que una tarea exclusiva del departamento de TI. Con la prevalencia de los ciberdelitos, la concienciación sobre este tema es responsabilidad de todos. Una de las principales herramientas que utilizan los ciberdelincuentes para vulnerar nuestras defensas es el phishing. El phishing es un método diseñado para engañarle y conseguir que revele información personal crítica. Al dominar las técnicas de phishing, puede protegerse eficazmente a sí mismo y a sus organizaciones de las amenazas a la seguridad.
Dos técnicas de phishing mencionadas en esta capacitación son el phishing selectivo y el whaling. Puede que estos términos le hayan sorprendido, pero al final de esta exploración, ya no serán un secreto para usted.
Spear Phishing: Apuntando a individuos específicos
El phishing selectivo es una técnica de phishing dirigida. A diferencia de los ataques de phishing habituales, en los que se envían correos electrónicos o mensajes fraudulentos de forma masiva, el phishing selectivo implica la segmentación directa. Los atacantes diseñan su mecanismo de phishing para que parezca una comunicación legítima de una fuente confiable, como una organización conocida o un colega. Sin embargo, antes de redactar esta comunicación, investigan a fondo al objetivo para que el mensaje parezca genuino.
Analicemos la anatomía del ataque de phishing selectivo para comprender cómo funciona. El ataque comienza con un correo electrónico supuestamente de una fuente confiable, como un banco o una tienda en línea, donde ya se encuentra tu información. Los atacantes aprovechan la información disponible sobre ti para presentar un correo electrónico aparentemente diseñado específicamente para ti.
El correo electrónico podría hacerle creer que se está produciendo alguna actividad en su cuenta que requiere su atención inmediata. A menudo, incluye un enlace que redirige a un sitio web de phishing, una réplica del sitio legítimo. La rapidez con la que se atienden estas solicitudes fraudulentas suele llevar a los usuarios a introducir sus datos personales, lo que en esencia resulta en caer en la trampa del atacante.
La caza de ballenas: en busca del pez grande
El whaling es otra técnica de phishing dirigida a los peces gordos, los altos ejecutivos de una organización. También se dirige como el phishing selectivo, pero los riesgos son mucho mayores. Los atacantes se hacen pasar por otro alto ejecutivo o un contacto de confianza del ejecutivo. Al suplantar la dirección del remitente y usar el lenguaje del ejecutivo, mantienen la ilusión.
El correo electrónico enviado al ejecutivo abordará un asunto crítico que requiere atención inmediata. La narrativa puede abarcar desde asuntos legales hasta quejas de clientes o auditorías internas. La urgencia, sumada al temor a las consecuencias negativas del incumplimiento, obliga a la víctima a actuar de inmediato.
El ataque de whaling suele implicar la divulgación de información confidencial o hacer clic en un archivo adjunto malicioso, que puede instalar malware, ransomware u otro tipo de software dañino en el sistema del ejecutivo. Estos ataques pueden causar graves brechas de seguridad y pérdidas financieras a las más altas esferas.
Protección contra ataques de phishing
Ahora que hemos desmitificado las técnicas clave de phishing, profundicemos en cómo protegernos. Recuerde que la clave de estos ataques es el engaño, por lo que cualquier método de protección se centra en descifrar este velo de engaño. Estos métodos incluyen conocer y reconocer las tácticas de phishing, mantener los sistemas actualizados, usar la autenticación de dos factores y exigir múltiples aprobaciones para todas las transacciones confidenciales.
Fomente un comportamiento seguro en línea en toda su organización. Comunique abiertamente los tipos de ataques de phishing y su funcionamiento. Actualice periódicamente las medidas de seguridad de su organización para adaptarse a las cambiantes ciberamenazas. Finalmente, capacite a su departamento de TI para supervisar, informar y abordar posibles intentos de phishing.
En conclusión, el phishing selectivo y el whaling son dos técnicas clave de phishing que toda persona con conocimientos de ciberseguridad debería tener en cuenta. Estas técnicas se valen del arte del engaño y se aprovechan de nuestra rapidez para responder a la urgencia. Reconocer estas estrategias, ser cautelosamente escéptico ante cualquier comunicación "urgente" y cultivar prácticas seguras en línea son fundamentales para protegerse a sí mismo y a su organización de estas amenazas de ciberseguridad.