Un mes más, volvemos con un nuevo boletín en el que trataremos los riesgos derivados del phishing y la necesidad de aumentar nuestra concienciación al respecto.
El correo electrónico se ha convertido en una herramienta imprescindible en el día a día profesional y personal. Las malas prácticas o la falta de atención pueden dar lugar a que el correo sea hackeado, o se convierta en una puerta de entrada de malware al ordenador. El correo electrónico es un servicio en el que prácticamente tenemos todo: comunicaciones de clientes, archivos adjuntos, datos de autenticación, documentos privados e información sensible, información confidencial de la empresa…
En este sentido, la formación y concienciación en materia de ciberseguridad se convierte en un pilar fundamental. Es importante tener en cuenta que más del 99% de los ataques dependen de la interacción humana para activarse, y el correo electrónico es el vector de amenaza más usado. Asimismo, la mayor amenaza para el usuario medio es el famoso phishing. A través de esta amenaza, los ciberdelincuentes envían mensajes suplantando la identidad de fuentes fiables (instituciones financieras, empresas como Zara o Amazon…) con el objetivo de solicitar y obtener información personal o bancaria.
Según el informe anual 2020-2021 de la Asociación Española de Empresas Contra el Fraude, AEECF, en España se han incrementado las estafas un 47% aproximadamente, con un especial protagonismo del phishing. La suplantación de identidad (58%) y los ataques de phishing (27%) son los tipos de fraude más comunes. A nivel corporativo, el 42% de los encuestados establece el importe medio defraudado entre 1.000 y 5.000 euros, mientras que el 21% lo sitúa por encima de los 50.000 euros. Asimismo, las Comunidades autónomas más afectadas han sido Cataluña (35%), Andalucía (25%) y Valencia y Madrid (10%).
Por su parte, tal y como afirma el estudio State of the Phish 2022, elaborado por Proffpoint, el 86% de las empresas encuestadas sufrieron ataques de phishing durante 2021 y un 80% confirma que los incidentes tuvieron consecuencias. Estas cifras suponen un coste medio de más de 1.422 euros por empleado.
A este respecto, LinkedIn (52%), DHL (14%) y Google (7%), son las marcas con más intentos de suplantación registrados en los tres primeros meses del año. En un ataque de phishing de marca, los atacantes intentan imitar la página web oficial de la empresa utilizando su nombre de dominio o una URL y un diseño web similar al de la marca oficial. El enlace que lleva a la página web falsa suele enviarse por correo electrónico. El sitio web falso suele tener un formulario destinado a robar las credenciales, los datos de pago u otra información personal del usuario.
En el último mes, se han identificado en España las siguientes campañas de phishing:
- La Guardia Civil ha informado de una nueva campaña en la que los ciberdelincuentes se hacen pasar por la Dirección General de Tráfico. Los criminales mandan un correo electrónico advirtiendo a los usuarios con el siguiente texto: “Tienes una multa pendiente. Se ha identificado en nuestro sistema una multa de tráfico no pagada”. A raíz de los casos observados, se puede perder entre 500 y 3.000 euros.
- La Asociación Española de Empresas contra el Fraude (AEECF) advierte de ataques masivos de phishing durante la campaña de la renta de 2021. Se ha identificado una campaña de malspam que utiliza como argumento irregularidades en el pago de los impuestos. Los criminales envían mensajes a dispositivos Windows y Android que alertan de cantidades pendientes de pagar. Estos mensajes contienen el troyano LokiPWS, capaz de robar datos de usuario, contraseñas, información de monederos de criptodivisas…
- INCIBE ha detectado una campaña de phishing que suplanta a Correos. La campaña tiene como pretexto la entrega de un paquete, previo pago de una cantidad de dinero, haciendo click en el enlace facilitado en el correo.
A modo de resumen, vamos a facilitar algunos CONSEJOS para mejorar la seguridad de los usuarios frente al phishing. En este sentido, lo mejor es:
- Aprender a identificar qué correos son sospechosos de phishing: Verificando que el nombre e imagen de la empresa es la real; verificando el remitente desde el que se recibe el mensaje; evitando mensajes cuyo gancho sea la pérdida de la propia cuenta, entrega de un paquete…
- No abrir enlaces de usuarios desconocidos o que no hayas solicitado: se recomienda eliminarlos directamente.
- No utilizar los enlaces asociados a un correo perteneciente presuntamente a una entidad legítima: lo mejor es acudir al navegador y acceder directamente a la web oficial de la entidad.
- No descargar ficheros adjuntos de correos electrónicos desconocidos.
- Contar con un antivirus, sistema operativo y navegador web actualizados.
- No introducir tus datos en webs que no contengan el protocolo https://
- Ante la mínima duda, ser prudente y no arriesgarse: Contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje antes de responder o hacerles caso.