Qué es el phishing y cómo afecta tu empresa

¿Alguna vez has sido víctima del famoso “cuento del tío”? Esta es una práctica muy antigua y ocurre tanto en escalas menores como mayores. El objetivo es siempre el mismo: aprovecharse de la confianza y obtener un beneficio de ello, generalmente monetario.

En plena era de la digitalización y la transformación digital nos encontramos con el phishing, una práctica similar a la del cuento del tío, pero llevada a escenarios digitales. Aquí te contamos de qué se trata y cómo esto puede llegar a afectar a empresas completas.

¿Qué es el phishing?

Se traduce del inglés al español literalmente como “suplantación de identidad” o robo de identidad. La finalidad de esto es hacerse pasar por otra persona u entidad, para obtener información personal o confidencial de la víctima, u obtener dinero directamente. Lo interesante del phishing es que quienes lo realizan se hacen pasar por una persona o entidad que a la víctima le resulte familiar o conocida, con el propósito de utilizar la cercanía y confianza para obtener la información deseada (por ejemplo un amigo, un familiar, un banco, una organización a la que se esté afiliado, etc.)

Esta práctica cae dentro de lo que se considera como ciberdelincuencia, ya que el phishing es una suplantación de identidad y perjudica moral y financieramente a la otra parte, vulnerando su seguridad digital.

Del cuento del tío al phishing: cómo se lleva a cabo

El cuento del tío es todo un fenómeno donde se recurre a una serie de tácticas para ganarse la confianza de otro. Esta práctica se ha denominado como ingeniería social, es decir, la práctica de engañar y manipular a otro, por medio de la confianza, para obtener información privada y luego sacar un provecho de eso.

A día de hoy la ingeniería social se ha trasladado a la esfera de la digitalización, y es ahí donde los ladrones de identidad entran en juego por medio del phishing.

Hay distintas maneras en cómo se ejecuta el phishing. Por un lado depende del medio que se utiliza. Este puede ser:

• Un mensaje de correo electrónico.
• Mensaje de texto.
• Redes sociales.
• Mensajería instantánea.
• Llamado telefónico.

Las posibilidades son muchas, por lo tanto he ahí lo peligroso de esta práctica.

Por otro lado, el cómo se ejecuta la acción del phishing también es muy amplia, va a depender del objetivo que se quiera lograr, del conocimiento digital del ciberdelincuente, del medio que utiliza, etc. Algunos de los recursos más utilizados son:

• Solicitar darle clic a un enlace.
• Descargar un archivo adjunto.
• Direccionar a un sitio web falso.
• Escribir directamente y solicitar cierta información.

En la era de la información, prácticamente cualquier acción legal y normal se puede utilizar como medio para hacer phishing, es por eso que muchas personas caen sin darse cuenta.

¿Cómo afecta a las empresas?

El ciberdelito de phishing se puede hacer tanto a nivel personal como a nivel empresarial, no hay límites a la hora de robar información. En una encuesta realizada a más de 1300 profesionales de TI se descubrió que el 56% de las organizaciones identificaron al phishing como su mayor riesgo de seguridad informática (CyberArk). Esto tiene sentido, porque son tantas las maneras en las que se puede llevar a cabo esta práctica, que muchas veces las personas no se dan cuenta que están siendo atacadas por él, hasta que el crimen ya fue hecho.

En enero del 2021, Google indexó poco más de dos millones de sitios de phishing. (Tessian)

Una empresa puede sufrir robos de datos confidenciales, pérdida de clave y nombre de usuario de distintas cuentas que se manejan a nivel corporativo, información financiera, claves de tarjeta de crédito, etc., incluso pérdidas millonarias por transacciones bancarias que se realizan producto del phishing.

Lo mejor que puede hacer una empresa es estar al tanto de estas prácticas fraudulentas y protegerse contra ellas.

¿Cómo protegerse del phishing?

Debido a que el robo de identidad tiene muchas variables, resulta complejo encontrar un solo método de protección contra esto. Sin embargo hay una serie de buenas prácticas que se deben seguir para disminuir las probabilidades de ser víctima de esto. Algunas de estas buenas prácticas para evitar caer en un mensaje de phishing son:

• Dudar de cualquier correo electrónico que parezca sospechoso.
• Verificar el origen del correo electrónico o mensaje recibido.
• Verificar las URL de páginas que parecen sospechosas.
• No entregar información privada por medio de un email.
• No entregar información privada cuando se tiene dudas de quién está del otro lado del mensaje.

Además de la precaución que cada persona debe tener, existen algunas herramientas que ayudan a proteger y aumentar la seguridad informática de una empresa u organización, estas son:

• Equiparse con redes de SD-WAN: esto es tecnología de WAN virtual que permite aprovechar cualquier proveedor de servicios de conexión con ancho de banda Internet o MPLS, entre otros, para conectar de forma segura y eficiente a los usuarios y aplicaciones.
• Tener acceso remoto seguro: serie de soluciones multicapa para fortalecer de manera integral el nivel de seguridad de las organizaciones, es decir, un sistema que protege las redes, los discos duros virtuales, los puntos de acceso, el usuario y contraseñas, para evitar accesos no autorizados y ataques de phishing. (Lee más sobre el Servicio de acceso remoto seguro).

El phishing se puede esconder detrás de muchos trucos y tácticas, pero con los sistemas adecuados y la seguridad digital acorde es posible detenerlo y tener una buena ciberseguridad corporativa.