Hizo clic en un enlace de phishing, ¿ahora qué?
Todos tenemos un “momento oh no” de vez en cuando. Es ese momento en el que uno se despierta y se da cuenta de que anoche se dejó la tarjeta de crédito en la mesa del restaurante. Afortunadamente, basta una llamada telefónica para cancelar la tarjeta y recibir una nueva en dos días. Aunque si la noche anterior se dejó la cartera llena de dinero en algún sitio, lo más seguro es que ese dinero haya desaparecido para siempre.
La buena noticia es que, por lo general, es posible recuperarse de la mayoría de esos momentos, y eso incluye hacer clic en un enlace de phishing. En algún momento, alguien de su organización hará clic en un enlace de phishing, ya que el 83% de las empresas sufre un ataque de phishing cada año. Estos ataques son los principales responsables de la distribución de malware y ransomware, ya que el 90% de todos los ciberataques se inician a través del phishing. Ahora bien, teniendo en cuenta que lo más probable es que usted o alguien de su oficina haga clic en uno de estos enlaces maliciosos de phishing, la pregunta es: ¿qué hacer a continuación?
Tipos de ataques de phishing
Para empezar, es esencial comprender los distintos tipos de ataques de phishing que suelen encontrarse las personas:
- Phishing de correo electrónico: Este es el tipo genérico de ataques de phishing en el que suele pensar la mayoría de la gente. Estos correos electrónicos engañosos pretenden embaucar a los usuarios para que hagan clic en enlaces maliciosos, descarguen archivos adjuntos o faciliten información confidencial. Se envían en grandes cantidades y a menudo parecen proceder de fuentes de confianza, como bancos, empresas de mensajería, etc. El objetivo es engañar a un pequeño porcentaje de usuarios con cada oleada de ataques.
- Spear phishing: Estos ataques son más selectivos, ya que el atacante dispone de cierta información sobre la víctima objetivo para aumentar las probabilidades de éxito. Por ejemplo, los correos electrónicos pueden proceder de un proveedor o vendedor con el que la persona hace negocios o pueden estar relacionados con una afición activa.
- Whaling: Aquí el objetivo es una persona de alto perfil, como un CEO u otro ejecutivo de la C-suite. Estos ataques pueden requerir una gran preparación para determinar el momento adecuado para actuar. Por lo general, se centran en iniciar grandes transferencias de fondos, divulgar información confidencial de una empresa u otras acciones que un alto ejecutivo puede tener autoridad para llevar a cabo.
Independientemente del tipo de ataque de phishing al que se vea expuesto, el objetivo siempre es el mismo: convencerle para que realice algún tipo de acción que implique hacer clic en un enlace, y hasta el más diligente de los usuarios puede caer de vez en cuando en estos correos electrónicos tan bien elaborados. El objetivo de los atacantes no es anunciar su presencia, sino mimetizarse con el entorno que desean atacar. Dada la frecuencia con la que muchos usuarios revisan sus correos electrónicos a diario, no es raro que de vez en cuando pase desapercibido uno engañoso.
Las pistas que hay que buscar
Todos los correos electrónicos deben tratarse con una pizca de sano escepticismo. Cada día hacemos valoraciones instintivas. Juzgamos intuitivamente el aspecto y el comportamiento de un desconocido, medimos las intenciones de un vendedor o inspeccionamos visualmente la comida de un comerciante callejero desconocido. De la misma manera que los cajeros están entrenados para examinar los elementos de seguridad de los billetes grandes, los usuarios de correo electrónico deberían estar entrenados para buscar pistas que puedan indicar la presencia de un mensaje sospechoso.
- No se guíe únicamente por el nombre mostrado del remitente. Busque la dirección de correo electrónico real que se está utilizando para confirmar que es del dominio correcto. Dependiendo del cliente de correo electrónico que utilice, normalmente puede pasar el ratón por encima o hacer clic en la pantalla para ver la dirección de correo electrónico real.
- Lea detenidamente el contenido del mensaje. Una forma rápida de detectar un ataque general de phishing es un saludo genérico como “Estimado cliente”. Busque señales como faltas de ortografía o mala gramática, aunque muchos creadores de phishing utilizan ahora herramientas de IA como ChatGPT para redactar los mensajes de phishing.
- Busque una llamada a la acción por su parte, como hacer clic en un enlace para restablecer sus credenciales online o abrir una imagen o documento compartido.
- Una llamada a la acción suele incluir algún tipo de enlace. Pase el cursor del ratón por encima del enlace para confirmar que se trata del dominio correcto. Hágalo detenidamente, ya que los hackers a menudo cambian sólo una letra de un dominio de confianza, que el destinatario puede pasar por alto fácilmente.
- Si es redirigido a una página web, examínela detenidamente para confirmar que su aspecto es correcto. Incluso puede abrir la página de inicio del dominio en una sesión independiente del navegador utilizando el modo incógnito para confirmarlo.
La buena noticia es que el simple hecho de abrir un correo electrónico rara vez, o nunca, provocará que suceda algo malo. Casi siempre es necesario hacer clic en un enlace incrustado o en un archivo adjunto.
El plan de juego posterior al clic
Aunque toda organización preocupada por la seguridad necesita a alguien versado en los aspectos técnicos del correo electrónico y sus amenazas, hay algunas medidas sencillas que casi cualquier usuario puede tomar para limitar el alcance de ese clic desafortunado. Si tiene la extraña sensación de que ha hecho clic en algo que no debía, siga su instinto y tome las siguientes medidas:
- Ignore cualquier solicitud de información personal, como credenciales, datos bancarios o información de contacto.
- Desconéctese de la red inmediatamente para impedir que se descargue cualquier posible código malicioso. Esto se puede hacer fácilmente desactivando la conexión Wifi de su dispositivo inalámbrico o desconectando el cable Ethernet de su ordenador.
- Analice inmediatamente su dispositivo informático en busca de malware.
- Cambie la contraseña online de cualquier organización relacionada con el sitio web al que fue dirigido. Si utiliza la misma contraseña para cualquier portal financiero, de comercio electrónico o de atención sanitaria, también debería cambiarla.
- Si ha facilitado algún tipo de información confidencial antes de identificar la naturaleza maliciosa de un correo electrónico, debería considerar la posibilidad de poner una alerta de fraude en una de las principales agencias de crédito.
Qué puede hacer su empresa
Aunque estas medidas de seguridad son adecuadas como último recurso para los usuarios finales, las empresas no deben confiar únicamente en los esfuerzos individuales para protegerse de los ataques de phishing. Aunque la autenticación multifactor (MFA) es muy recomendable y a menudo obligatoria para el cumplimiento de la normativa, no es una solución mágica para contrarrestar los ataques de phishing, ya que los hackers han descubierto recientemente métodos avanzados de phishing que eluden la MFA. La seguridad requiere visibilidad en todos los aspectos de su entorno, lo que implica una supervisión ininterrumpida de sus sistemas y terminales. Recurrir a una organización externa como CYREBRO, especializada en la supervisión de la ciberseguridad y la respuesta a incidentes, es una medida estratégica para identificar y contrarrestar de forma proactiva las amenazas emergentes. CYREBRO utiliza análisis avanzados de amenazas e inteligencia sobre amenazas para ayudar a prevenir cualquier tipo de intención maliciosa por parte de los actores maliciosos. También puede reducir el impacto de esos “momentos oh no”, como hacer clic en un enlace malicioso. Nadie es perfecto, pero con una supervisión de la ciberseguridad 24 horas al día, 7 días a la semana, no tiene por qué serlo para mantenerse a salvo.