Desde que existe el correo electrónico, existe el phishing. Es una de las ciberamenazas más presentes y también, una de las más peligrosas. Se estima que uno de cada 99 emails es un ataque de phishing, y que el 30% de los emails de phishing consiguen sortear las protecciones por defecto. Es más, el 92% del malware en el mundo llega a través del phishing.
Aparte del malware, los emails de phishing también pueden ser la puerta de entrada para estafas como BEC—Business Email Compromise—una modalidad de cibercrimen que, según la Financial Crimes Enforcement Network (FinCEN), genera unos 301 millones de dólares cada mes. El año pasado, el concepto “factura” era la causa del 60% de las campañas de phishing más efectivas. Sin embargo, este 2019, parece que hay otra táctica más efectiva.
Conocimiento de ciberseguridad como fuerza para el mal
Una empresa de formación de conocimiento de seguridad, KnowBe4, ha llevado a cabo un estudio para descubrir los ‘asuntos’ de emails de phishing más efectivos. Los asuntos que más éxito tenían eran los que estaban relacionados con la ciberseguridad o que hacían pensar a las víctimas que habían sufrido una brecha de seguridad.
Para el estudio, la empresa envió miles de emails de phishing simulados con varios asuntos, y observó cuáles conseguían clics. También observaron los asuntos de emails de phishing de verdad que los usuarios habían reportado a sus departamentos informáticos.
Los resultados son reveladores. Los emails de phishing que utilizaban el asunto “Comprueba de inmediato tu contraseña” eran los que tenían más éxito: el 43% de los usuarios cayeron en esta trampa. El éxito de esta táctica, curiosamente, indica que, hasta cierto punto, los esfuerzos para concienciar a los usuarios acerca de la ciberseguridad están surtiendo efecto y que saben la importancia de proteger sus contraseñas.
Otros asuntos que conseguían que los destinatarios abrieran los emails incluían “Se hizo un intento de entrega” o “Desactivación de [email] en progreso”, que engañaron al 9% de los usuarios.
Interesarse en la empresa puede ser peligroso
Otra táctica es el uso de asuntos relacionado con las políticas de la empresa: “Nuevos cambios organizacionales”, “Beneficios de empleado actualizados”, “Evaluación del personal 2018” y “Política de vacaciones y baja por enfermedad” estaban entre los asuntos de los emails que se abrían con más frecuencia.
Dice Stu Sjouwerman, CEO de KnowBe4:“Mientras sigue habiendo amenazas de ciberseguridad, cada vez más usuarios se vuelven conscientes de la importancia del papel de la seguridad. Tienen gran interés en proteger sus vidas online, y por eso, un mensaje que parece urgente relacionado con su contraseña puede incitar a los usuarios a hacer clic. Los atacantes siempre buscan formas inteligentes para engañar a los usuarios, así que estos tienen que permanecer vigilantes.”
Defiéndete contra el phishing
Con el volumen de correos electrónicos que reciben los usuarios, tanto legítimos como intentos de phishing, protegerse contra las amenazas de este tipo se vuelve imprescindible. Lo más importante es concienciar a los empleados lo mejor posible sobre los peligros de estos ataques, y como reconocer estos mensajes falsos. Muchos de ellos contienen nombres y adoptan imágenes de empresas reales que pueden ser proveedores de la organización. Sin embargo, también suelen contener elementos sospechosos, como por ejemplo:
- Un dominio del remitente que es parecido pero que no coincide completamente con el de la empresa que envía la factura.
- Un idioma distinto al que suele utilizar la organización con los proveedores.
- Graves faltas de ortografía o gramaticales, producto del uso de programas de traducción para generar el email de manera automática.
Además de extremar las precauciones ante posibles emails de phishing, es vital contar con una protección avanzada para evitar que las ciberamenazas lleguen a los buzones de los empleados. Panda Email Protection proporciona una protección multicapa contra todo tipo de spam y malware en tiempo real. La tecnología de escaneo avanzado se realiza desde la nube y permite una gestión simplificada de la seguridad, y que puede realizarse a cualquier hora y desde cualquier lugar con solo acceder a la consola web.
El phishing es una de las ciberamenazas tradicionales que sigue en auge, y seguramente siga aumentando cada año. Es más, es la puerta de entrada de un sinfín de ciberataques y malware. Protege tus sistemas con Panda Email Protection.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
