El phishing es un método informático ampliamente utilizado en el mundo y que cada vez evoluciona para sustraer credenciales de acceso, datos personales e información bancaria tanto de empresas como de usuarios normales. Por ejemplo, para todos los empleadores que usan un gestor de contraseñas empresarial, es clave estar listos para reconocer el phishing, cómo opera y cuál es la mejor forma de defenderse.
A pesar de que el gestor de contraseñas es vital para cifrar el acceso a datos sensibles en una organización, por sí sola no es capaz de combatir el phishing. Por lo tanto, las personas que se dedican a la captación de talento humano deben educarse para actuar como la primera línea de defensa ante este tipo de ataques.
¿Qué es el phishing?
El phishing es una variación de fishing, que significa pescar en inglés, y hace referencia a la acción de arrojar un cebo con la finalidad de hacer que una víctima sea capturada. No es un malware ni un virus desde el punto de vista informático, pero sí una forma de engañar a los empleadores y violar su privacidad.
Se trata de un ciberdelincuente que reemplaza la identidad de una organización de confianza, tal como una red social, agencia gubernamental o banco, o hasta a un proveedor o jefe de una empresa para engañar al empleador y que revele datos sensibles.
El phishing se realiza normalmente por medio de correos electrónicos, llamadas telefónicas, SMS o páginas web falsas. La finalidad siempre será la misma: robar la identidad, implantar un ransomware o malware o acceder a cuentas de banco cuando se pulsa en un enlace o descarga un archivo de dudosa procedencia.
Señales de alerta para detectar un ataque de phishing
Reconocer un correo de phishing no siempre es sencillo, pues los ciberdelincuentes tratan de imitar a las empresas, jefes y proveedores, en cuanto a lenguaje e identidad visual de la mejor manera posible. Pero, hay varios aspectos que pueden ayudar a las personas a detectarlos inmediatamente:
Dominio y remitente
Es el primer y más importante paso en un punto de control, a pesar de que el nombre del remitente diga Banco Santander, el dominio es lo que realmente hay que verificar.
● Verificar dominio. Un empleador debe pasar el cursor por la dirección de correo electrónico sin hacer clic. Por ejemplo, si el jefe de Amazon envía un mensaje, el dominio debe terminar con el dominio de la empresa, tal como @amazon.es o parecido. En el caso de ver @amazon-seguridad.net o @gmail.com, seguramente se trata de un intento de robo de identidad. También es posible que las letras “O” sean sustituidas por “ceros”, así como las “L” por “I”.
● Direcciones estándar. Una empresa o proveedor nunca utiliza cuentas gratuitas de correo para contactar a sus clientes, tales como Yahoo, Gmail y Hotmail.
Sentimiento de urgencia
Los correos de phishing siempre utilizan la psicología de urgencia para invitar a las personas a comprar y revelar información confidencial de ellos o la empresa. Algunos mensajes pueden ser de este tipo:
● Quedan 24 horas para verificar tus datos o la cuenta será suspendida.
● Ha ocurrido un acceso no autorizado, presiona aquí para cambiar la contraseña.
● Existe un reembolso pendiente, agrega tu información aquí para recibirlo.
Las organizaciones reales usan alternativas más lentas como la mensajería segura de su web o el correo postal para informar sobre problemas con las cuentas.
Conclusión
En general, un empleador debe reconocer un ataque de phishing como medio de protección personal y de responsabilidad empresarial. Pues, un error que cometa pueda dejar expuesta toda la infraestructura de la organización, dejando datos financieros y de clientes en manos de ciberdelincuentes.