Los Riesgos del Phishing para las Organizaciones
Hoy en día los peligros de ser engañado (Riesgos del Phishing para las Organizaciones) son ampliamente conocidos, pero la magnitud del daño a menudo se malinterpreta. El phishing exitoso implica que el estafador obtenga acceso no autorizado a la información privada de una organización, para luego obtener beneficios personales. Algunos de los datos más comunes que roban los phishers son los detalles de la cuenta bancaria, una vez obtenidos estos datos, estos pueden usar dicha información para retirar dinero de la cuenta o realizar una transacción en línea.
El impacto financiero global del phishing es difícil de estimar, las grandes empresas son más susceptibles a perder grandes sumas de dinero; un informe del Instituto Ponemon estima que en el primer trimestre de 2016 los ataques de phishing exitosos recaudaron hasta $ 3.7 millones por ataque en una organización grande. Las organizaciones más pequeñas también son regularmente víctimas de ataques ya que pueden no tener los recursos para construir redes de seguridad sofisticadas o esquemas de concientización para evitar que su personal caiga en las estafas.
Los phishers a menudo engañan a las grandes empresas haciéndose pasar por gerentes de la empresa y enviando correos electrónicos al personal de menor rango, ordenando a su personal que transfiera fondos a cuentas que en realidad están controladas por los phishers. Este tipo de phishing, a menudo llamado “caza de ballenas”, puede hacer que la empresa pierda enormes sumas de dinero, a veces incluso millones de dólares. El fabricante austriaco de aviones FACC es un excelente ejemplo de esto: les fueron robados $ 54 millones en enero de 2016, su CEO fue despedido ese año debido al incidente y las repercusiones en la imagen de la compañía.
Muchas organizaciones ahora están tomando medidas extensivas para evitar ser engañadas, empleando filtros de correo electrónico o software para impedir que se abran algunos archivos adjuntos, siendo poco eficientes, ya que si un phisher tiene conocimiento de estas medidas, puede diseñar el correo electrónico para que este pueda pasar a través de estos programas de protección regulares, por eso, otra ruta a tomar por las empresas es capacitar a los empleados para que reconozcan los esquemas de suplantación de identidad (phishing) o alentarlos a cuestionar cuándo se realizan transacciones sospechosas.
Además de la pérdida financiera incurrida a través del phishing, las empresas también pueden sufrir daños a la reputación ya que, si una empresa ha sido víctima de una estafa, puede considerarse incompetente y poco confiable, adicional, si esta empresa es un proveedor externo, un incidente de incumplimiento puede llevar a que sus clientes terminen sus contratos de inmediato. La construcción de una reputación de marca requiere tiempo y dedicación y esta puede ser eliminada casi instantáneamente por un atacante.
El daño a la reputación de una empresa no solo se debe a ser engañado, sino también al ser falsificado. Si un hacker ha obtenido la lista de clientes de la organización y les ha enviado correos electrónicos falsos, la reputación de la organización se ve afectada, por eso, es vital que la información privada del cliente esté protegida y las empresas pueden contratar compañías especializadas en ciberseguridad para ayudar a evitar que sus clientes sean víctimas de phishing.
Ransomware y Phishing
El ransomware es un tipo de software malicioso el cual impide que la víctima acceda a su computadora o a ciertos archivos en su computadora, hasta que se pague un rescate al hacker informático. Este malware puede ser enviado a una computadora a través de un ataque de phishing, la víctima puede recibir un correo electrónico de un contacto u organización de confianza, en el que el phisher ha incluido un archivo adjunto, dicho archivo adjunto contiene el software, el cual al abrirlo, la computadora se infecta y se le niega el acceso a la víctima.
El ransomware se ha convertido en una amenaza mayor en los últimos años. Según Verizon, la compañía de comunicaciones fue el tipo de software malicioso más utilizado en 2018, representando el 39% de los ataques de phishing de malware, esto es el doble de la proporción de ataques de malware ransomware realizados en 2017.
Los ataques de ransomware pueden estar aumentando debido a la disponibilidad del software en línea ya que los hackers no necesitan crear el software por sí mismos, simplemente los pueden comprar en la web oscura, esto hace que se requiera muy poco esfuerzo por parte del phisher, pero con un gran reembolso por su pequeño esfuerzo. Ante esto, las víctimas están comparativamente indefensas y pueden hacer poco más que pagar el rescate.
Los phishers ya no solo apuntan sus ataques a individuos, las organizaciones grandes, con billeteras más grandes, están presenciando un mayor número de ataques en sus sistemas. El atacante a veces simplemente cierra el acceso a los sistemas esperando por el rescate, otros, obtienen cierta información de rescate, como la información médica privada de pacientes, si atacan a un proveedor de atención médica y dado que la organización podría enfrentar enormes problemas legales si se divulgan los datos de sus pacientes, se ven obligados a pagar las multas.
Debido a la relativa facilidad de estos ataques, es probable que se vuelvan más comunes en los próximos años.
Es difícil protegerse contra estos tipos de ataques y la forma más sencilla es enseñarles a los empleados los peligros del phishing. Si los empleados saben cómo detectar correos electrónicos sospechosos, no estarán inclinados a abrir los archivos adjuntos y luego introducir inadvertidamente el malware en el sistema. Evitar que el sistema se vea comprometido, en lugar de lidiar con los efectos posteriores al ataque, es la forma más fácil de garantizar que la seguridad de una empresa no se vea comprometida.
Se debe enseñar a los empleados a nunca abrir correos electrónicos de remitentes desconocidos o si abren correos electrónicos, nunca siga los enlaces incrustados en el correo, ni abrir archivos (PDF, Excel, etc) o imágenes adjuntas. Si hacen clic accidentalmente en el enlace de un correo electrónico o abren un archivo adjunto, se les debe alentar a que se comuniquen con el departamento de TI lo más rápido posible y desconecten su dispositivo de la red para intentar mitigar el daño, así, el departamento de TI puede evaluar si el hacker informático ha adquirido acceso no autorizado al sistema. Otra medida es informar al resto de la organización de la posible violación para que otros puedan estar atentos a estafas similares. Se recomiendan talleres regulares de capacitación sobre phishing, al igual que los correos electrónicos informando a los empleados sobre las últimas estafas que circulan por Internet.
Sobre el Autor:
Liam Johnson es un especialista en seguridad cibernética con varios años de experiencia en la redacción de contenido de ciberseguridad en varios sitios web. Liam trabajó en varios sitios web de asesoramiento sobre ciberseguridad durante varios años antes de unirse a NetSec.news . También se abrió camino en la universidad como escritor independiente de ciberseguridad. Es responsable de la investigación en profundidad y de la producción de consejos detallados sobre temas de ciberseguridad para Netsec.news.
Fuente: EC-Council