5 minutos de lectura 3 abr. 2020
Madre trabajando en su oficina en casa con su hija

¿Cómo protegerse de las estafas de phishing en medio de la pandemia de COVID-19?

Por Alfonso Crespo

Forensic and Integrity Services Partner, EY Central America

Alfonso lidera la práctica de Servicios Forenses y de Integridad para Centroamérica, Panamá y República Dominicana

5 minutos de lectura 3 abr. 2020

Las estafas de phishing han estado durante mucho tiempo entre los métodos de ciberataque más populares. La pandemia de coronavirus (COVID-19) abre más oportunidades para los ciberdelincuentes.

COVID-19 ha cambiado la vida laboral y familiar de la mayoría de nosotros. El cambio al trabajo a distancia y los temores sobre el virus han llevado a un aumento de los intentos de phishing, con los ciberdelincuentes moviéndose rápidamente para aprovechar la nueva realidad mundial.

El phishing y las estafas por correo electrónico se encuentran desde hace mucho tiempo entre los métodos más populares y eficaces utilizados por los ciberdelincuentes. Pueden utilizarse para distribuir información errónea, obtener ganancias financieras ilícitas y buscar información personal y sensible de una víctima. Los empleados víctimas de los ataques pueden exponer datos críticos de la empresa ubicados no sólo en su propia computadora, sino en toda una red.

Ahora, COVID-19 está dando a los ciberdelincuentes una nueva forma de engañar a cualquiera que esté preocupado por la pandemia, como explica el documento Ese correo también podría estar infectado (PDF). Los estafadores están enviando correos electrónicos que parecen provenir de organizaciones legítimas como la Organización Mundial de la Salud, los Centros de Control y Prevención de Enfermedades de los Estados Unidos y otras autoridades gubernamentales.

Casi todos los correos electrónicos fraudulentos se reducen a pedir al destinatario que haga clic en un enlace o abra un archivo adjunto. Cualquiera de las dos acciones puede resultar en la activación de un malware o en la orientación al usuario para que introduzca datos confidenciales.

Formas comunes de ataques de phishing

Como en la mayoría de los ataques de phishing, los delincuentes suelen utilizar contenido legítimo procedente de organizaciones de renombre para atraer al lector a hacer clic en un enlace. La URL parece provenir de un sitio web legítimo, pero al hacer clic en ella se infecta la computadora de la víctima enviándola a un sitio malicioso que extrae sus datos.

Los ataques de phishing también se aprovechan del hambre de información en tiempos de crisis enviando a los destinatarios anexos que afirman contener información importante sobre la salud. Cuando la víctima hace clic en el documento, puede ceder sin saberlo el control de su ordenador a alguien que trabaje a distancia a través de un código oculto embebido.

Hay varias vías que los atacantes han estado explotando para llevar a cabo estos ataques. Algunos de los más comunes son:

  • Spear-phishing: Correos electrónicos falsos, que se cree que son de un remitente de confianza, que incitan a las víctimas a revelar información confidencial o a seguir enlaces a sitios web de recolección de credenciales o malware
  • Spoofing: Uso de nombres parecidos a los del personal autorizado, adición o cambio de dominios a sitios maliciosos, o uso de correos electrónicos o diseños de sitios similares
  • Social engineering: Aprovechando LinkedIn y otra información disponible públicamente para trazar las jerarquías corporativas y usando el conocimiento para ejecutar ataques de falsificación educados
  • Spam filter bypassing: Tácticas, como zero-point font utilizada para evitar los filtros de spam que podrían estar en funcionamiento, a menudo clasificada como una falsificación más avanzada

Además de las estafas de COVID-19, otras estafas comunes son:

  • Fraude contable: Una solicitud de un departamento o líder de contabilidad o finanzas para aprobar el pago de una factura, un registro en el acta o cualquier otra transacción financiera
  • Spoofing en redes sociales: Una notificación en las redes sociales, como una solicitud de amistad o un post que debes "hacer clic para ver"
  • Notificación de entrega de paquetes: Un paquete que requiere que el destinatario haga clic en un enlace para confirmar la entrega o para comprobar el estado del seguimiento
  • Falsificación de cuentas de compras en línea: la cuenta de compras en línea experimentó una actividad de acceso sospechosa que requiere hacer clic en un enlace para revisar o confirmar
  • Resetear contraseña: su cuenta en línea ha sido comprometida; por favor, haga clic en un enlace para recuperar el acceso a su cuenta

Los riesgos aumentan en medio del trabajo a distancia

El phishing no es nada nuevo, pero los expertos en seguridad informan que los ataques aumentan debido a la pandemia de COVID-19. A medida que ejercemos el distanciamiento social y pasamos más tiempo trabajando a distancia, el riesgo de caer en trampas de phishing aumenta.

Muchas interacciones cara a cara se han trasladado a Internet, y los empleados remotos pueden estar más inclinados a utilizar las computadoras portátiles de la empresa para trabajos no relacionados a su trabajo. Los empleados que utilizan cuentas de correo electrónico personales desde las computadoras portátiles corporativas pueden llegar a sitios infectados que roban información confidencial de la empresa.

Las organizaciones llevan mucho tiempo bajo la amenaza de correos electrónicos de phishing que se hacen pasar por un compañero de trabajo o un gerente. Es posible que reciba un correo electrónico que parece ser enviado por un colega pidiéndole que siga las instrucciones de "transferir dinero", "enviar datos financieros" o "permitir el acceso a la información confidencial del producto".

En el pasado, puede que hayas llamado a alguien en el cubículo de tu costado para pedirle una verificación, pero si eso no es una opción, puedes hacer clic automáticamente en el enlace. A medida que los empleados pierden el contacto cara a cara, el riesgo de ser víctima aumenta exponencialmente.

Casi todos los correos electrónicos fraudulentos se reducen a pedir al destinatario que haga clic en un enlace o abra un archivo adjunto. Cualquiera de las dos acciones puede resultar en la activación de un malware o en la orientación al usuario para que introduzca datos confidenciales.

Mantenerse alerta puede prevenir ataques de phishing exitosos

Aquí hay algunos pasos clave para protegerse a sí mismo y a su compañía:

  • Utilizar las medidas de seguridad de la empresa para los correos electrónicos sospechosos enviados a la dirección corporativa. Por ejemplo, muchas empresas tienen herramientas que le permiten marcar inmediatamente cualquier correo electrónico que no pueda verificar fácilmente.
  • Revisar las normas de seguridad cibernética de su empresa y tome capacitaciones si es necesario.
  • Usar herramientas corporativas internas seguras como la mensajería instantánea y los sitios de colaboración en lugar del correo electrónico cuando sea posible. Si no te sientes cómodo con estas herramientas, ahora es el momento de adoptarlas.
  • Comprobar la dirección de correo electrónico del remitente para asegurarse de que el nombre de dominio es correcto. Por ejemplo, real.employee@acme.com no es realemployee@acmee.com.
  • Tener cuidado con los correos electrónicos genéricos que no se dirigen específicamente su persona.
  • Cuestionar la autenticidad si el correo electrónico está lleno de errores gramaticales y ortográficos.
  • La mayoría de los programas de correo electrónico avisarán de correos electrónicos sospechosos. No ignorar esas advertencias.
  • Utilizar la mensajería instantánea o una llamada telefónica para contactar con un colega que parezca ser el remitente de un correo electrónico sospechoso.
  • Tener cuidado con las instrucciones que piden que descargue un archivo, como una factura o un extracto bancario.
  • Cuando sea dirigido a una URL, comprobar la dirección para determinar si es para un sitio web familiar. No hacer clic en ningún enlace a menos que pueda verificarlo.
  • No realizar ninguna acción que esté fuera de los flujos de trabajo estándar (por ejemplo, transferir dinero para procesar pagos) sin verificación.
  • No responder a los correos electrónicos que piden información personal. Las organizaciones legítimas que piden información sensible le enviarán un enlace seguro que encripta los datos.
  • No abrir los archivos adjuntos sin verificarlos. Contactar con el remitente por teléfono o utilizar una herramienta de comunicación interna segura para confirmar primero la autenticidad de los documentos.

Resumen

En medio de la pandemia de coronavirus (COVID-19), los empleados que trabajan desde su casa y que utilizan cuentas de correo electrónico personales desde las computadoras portátiles de la empresa pueden llegar a sitios infectados que roban información confidencial de la empresa. La vigilancia y la precaución están garantizadas incluso en los mejores momentos; tenga cuidado con los enlaces y con la descarga de archivos de fuentes desconocidas, y encuentre tiempo para refrescar sus conocimientos sobre las políticas y recursos de seguridad cibernética de la empresa.

Acerca de este artículo

Por Alfonso Crespo

Forensic and Integrity Services Partner, EY Central America

Alfonso lidera la práctica de Servicios Forenses y de Integridad para Centroamérica, Panamá y República Dominicana