Comunicaciones y Sistemas

El phishing no se va de vacaciones en verano

Índice del contenido

El éxito de los ataques de phishing está en que utilizan el único factor que no puede ser controlado por un antivirus: la naturaleza humana, un factor que hace que en verano tendamos a relajarnos, bajar la guardia y ser más vulnerables.

Conviene recordar periódicamente que el phishing es una técnica de ingeniería social de suplantación de identidad utilizada por la ciberdelincuencia. La víctima es contactada por alguien que se hace pasar por otra persona o una institución legítima con el fin de engañarla para que realice una determinada acción que permita al ciberdelincuente tomar el control del sistema u obtener datos confidenciales con los que culminar su ataque.

Es decir, el éxito de un ataque de phishing está en conseguir engañar a la víctima para que realice una acción determinada que abra las puertas al ciberataque.

En el contexto de trabajo actual, es frecuente que los trabajadores disminuyan al máximo su actividad durante los periodos de descanso, pero sin dejar de atender del todo asuntos profesionales, sobre todo si tienen apariencia de urgencia.

El verano es la época del año en la que más cambia el entorno de trabajo en las organizaciones: se incrementa el teletrabajo, hay menos personal y más desconexión entre compañeros y departamentos y se atienden incidencias y cuestiones a través de dispositivos móviles personales, la mayoría de las veces desde lugares alejados del escenario profesional.

Todo ello unido a la desconexión mental propia de los días dedicados al descanso laboral puede convertir a cualquier persona de la organización en una presa fácil del phishing.

Conviene, pues, tener muy presente en estos días de verano que, frente a la ciberdelincuencia, no se puede bajar nunca la guardia y que un mensaje relacionado con el trabajo, aparentemente inofensivo, leído en un momento en la playa o en el campo y respondido con rapidez puede ser la puerta de entrada del ciberataque que hemos estado evitando con éxito el resto del año.

¿Por qué el verano puede favorecer al phishing?

Cuando el objetivo del phishing son las organizaciones, su elaboración suele llevar detrás muchas horas de investigación por parte del ciberdelincuente, el engaño es mucho más sofisticado y personalizado, también más difícil de detectar, y el objetivo suele ser único.

El verano, con los cambios en las rutinas, actividades, el entorno y el estado mental de la víctima, incrementa esa dificultad para detectar el phishing.

Características típicas del engaño a través del phishing en verano

  • Urgencia. Es una de características más comunes. Generalmente, los mensajes de phishing urgen a realizar una acción determinada para evitar que ocurra un supuesto perjuicio inminente que tendrá graves consecuencias para el individuo o la organización. En verano, a esta urgencia se le une la falta de concentración y focalización de la víctima, por lo que el impulso de dar una respuesta inmediata a esa urgencia suele ser más fuerte.
  • Oferta. A veces, el cebo es una oferta que supone una gran oportunidad para el individuo o la organización y en verano suele tener que ver con viajes, el ocio y el descaso. También va acompañada del factor urgencia.
  • Enlaces. Los mensajes de phishing contienen enlaces en los que hay que pinchar para seguir adelante con una acción u obtener más información. La necesidad de saber más o resolver rápido el asunto para seguir con la desconexión vacacional sin más interrupciones, hace que la acción sea más impulsiva.
  • Archivos. Los mensajes de phishing contienen archivos que hay que descargar para poder tener más información o seguir adelante con una acción. En este caso, ocurre igual que en el anterior y el resultado suele ser el mismo: la descarga se autoriza de forma casi automática, sin mucha comprobación previa.

Cambios en el entorno y las rutinas de la víctima del phishing contribuyen a aumentar la posibilidad de éxito del engaño

  • Dispositivos. En vacaciones los mensajes recibidos suelen leerse y responderse desde dispositivos móviles, como tablets y teléfonos, con pantallas más pequeñas de lo habitual desde las que es más difícil percatarse, a simple vista, de alguna anomalía en la dirección del remitente del correo.
  • Mezcla de mensajes. En vacaciones es frecuente que se unifiquen en un mismo terminal los correos personales con los profesionales y es fácil la confusión entre ambos, de forma que la víctima puede creer que está respondiendo a un asunto personal cuando el mensaje está enviado a su correo profesional, relajando las rutinas de comprobación y seguridad.
  • Reenvío de mensajes. La urgencia y la imposibilidad de resolverla con facilidad en el entorno de ocio puede impulsar a la víctima a reenviar el mensaje a un compañero en activo sin comprobación de seguridad previa. Ese compañero recibirá entonces el mensaje fraudulento a través de un remitente conocido y fiable, lo que ampliará la posibilidad de que ejecute la acción requerida sin realizar, tampoco, comprobación alguna de seguridad.

Reforzar la guardia contra el phishing en verano

Todas las circunstancias anteriores hacen que sea necesario reforzar la guardia contra el phishing en verano, tanto desde la organización como desde el entorno individual de cada una de las personas que trabajan en ella.

  • Desde la organización es aconsejable enviar a los empleados antes y durante las vacaciones recordatorios, consejos y guías de actuación para que sean conscientes de que, ante cualquier mensaje recibido, deben seguir las mismas reglas de seguridad y comprobación que realizan cuando están en activo en el entorno profesional.
  • También desde la organización han de mantenerse cubiertas en verano las mismas medidas de ciberseguridad y planes de recuperación que se aplican el resto del año. En el caso de que el ciberataque por phishing tenga éxito, es fundamental que la capacidad de reacción de la organización no esté mermada por las circunstancias organizativas especiales del verano.
  • Desde el entorno individual. Es fundamental la toma de conciencia del peligro en cualquier momento de las vacaciones y la necesidad de mantener todas y cada una de las rutinas de seguridad que se llevan a cabo el resto del año ante cualquier mensaje: la primera, comprobar todos los que se reciben, por más intrascendentes que parezcan, y la segunda, nunca dejarse llevar por la impulsividad generada por la urgencia.

Buscar un lugar tranquilo en el que poder concentrarse y revisar los mensajes, leerlos con calma, comprobar el remitente y el asunto y, en caso de duda, reenviarlo a un compañero en activo con la advertencia de que el mensaje debe ser verificado y asegurado son las acciones básicas y necesarias para evitar ser engañados por el phishing en plenas vacaciones de verano.

Desde Sothis te ayudamos a estar protegido contra el phishing también en verano

En Sothis somo conscientes de la necesidad de mantener el mismo nivel de ciberseguridad ante el phishing en cualquier momento del año y por eso ayudamos a nuestros clientes con:

  • Implementación, despliegue y adopción de las soluciones de ciberseguridad líderes del mercado.
  • Servicio de Seguridad Gestionado desde nuestro SOC Sothis ERIS-CERT®. El centro de operaciones de seguridad de la información responsable de la realización de las actividades de seguridad analítica y seguridad operativa que Sothis pone a disposición de nuestros clientes para la entrega de servicios de ciberseguridad, utilizando herramientas líderes en el mercado y ofrecidas as-a-service, según sus necesidades y que trabaja en verano con los mismos recursos profesionales y técnicos y las mismas garantías que el resto del año.
  • Formación y concienciación sobre el phishing en las organizaciones. Mediante campañas de simulación de ataque por phishing y formación específica del personal en ciberseguridad anti-phishing, con una metodología y temarios teóricos y prácticos propios desarrollados por Sothis para nuestros clientes.
Comparte

No es sólo un blog

Noticias y avances sobre
tecnología

Con la unión de Sothis y Nunsys conseguimos...
La integración de Microsoft Power Platform y SAP...
¿Cómo complementar el CRM para enfocar el hecho...
En una sociedad cada vez más digitalizada, la...
Evolucionar el concepto de CRM (Customer Relationship Management)...
¿Por qué automatizar los gastos de los empleados?...

¡Gracias!

Tu formulario se ha enviado correctamente-

Consigue el eBook

De conformidad con lo establecido en la normativa vigente en materia de protección de datos, le informamos que sus datos serán tratados por Sothis Enterprise Resource Planning, S.L.U. con el fin de atender las solicitudes que nos formule en base a la ejecución de un acuerdo. Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, así como los demás que la normativa reconoce al interesado, mediante solicitud dirigida a c/ Charles Robert Darwin, 13 – Parque Tecnológico cp. 46980 Paterna (Valencia), o por correo electrónico a rgpd@sothis.tech adjuntando copia de su DNI o documentación que le identifique. Puede consultar información adicional sobre el tratamiento de datos en SOTHIS en nuestra Política de Privacidad.