Muchos pensaban que el teletrabajo era solo una medida temporal durante la época más cruda de la pandemia. Pero lo cierto es que parece que ha venido para quedarse en muchas empresas. Al menos, durante buena parte del próximo año. Poco a poco, las empresas y sus plantillas se han ido habituando a los cambios que ha traído consigo, además de adoptar nuevas formas de trabajar. Pero en muchos casos, esto ha tenido cierto coste. Uno de los principales ha sido la seguridad, con departamentos de TI abriendo la mano para que todo funcionase, y con los ciberatacantes intentando sacar partido de la situación. Esto ha llevado a aumentos en los ciberataques y ciberdelitos. Entre ellos, del phishing.
Este ataque, prácticamente tan antiguo como el correo electrónico, requiere que los estafadores envíen correos electrónicos falsos que parecen provenir de una fuente creíble, como una entidad gubernamental, un operador de telefonía o el banco. Incluso de la empresa para la que trabaja quien recibe el correo si los atacantes cuentan con información sobre ello. El objetivo es conseguir que el receptor del email pique y caiga en la trampa, y les desvele con un email de respuesta información personal: contraseñas, horario, datos de la empresa, etc. Y según Richard Rushing, CISO de Motorola, este tipo de ataque ha experimentado un crecimiento exponencial durante la pandemia.
Este directivo asegura que el phishing «se está disparando, hasta en un 200% o 300% en función del sector«. Rushing también asegura que el phishing se ha vuelto mucho más sofisticado, y siniestro, en los últimos años. Esto se debe a que funciona, y a que para un hacker es muy sencillo enviar correos en masa. Además, no hay mucho que los administradores de sistemas puedan hacer desde el punto de vista técnico para detenerlo. Al fin y al cabo se trata de si el atacante puede conseguir o no que alguien haga click en el enlace que va en el email, cae en el engaño y facilita los datos que quiere conseguir el hacker.
Para conseguirlo, los ciberdelincuentes suelen apelar a instintos tan básicos como la avaricia o el miedo, o con la disposición que suele tener la mayoría de gente de ayudar. En la mayoría de casos, todo va unido a un sentimiento e impulso de urgencia, para evitar que el receptor de los correos se ponga a pensar o a hacer averiguaciones sobre lo que se le envía. Sobre todo si alega problemas con cuentas bancarias o tarjetas de crédito.
Intentar engañar a alguien que trabaja desde casa es más sencillo que hacerlo con alguien que está en una oficina, rodeado de compañeros y con el departamento de seguridad cerca. Por tanto, intentar evitar ser víctima de un engaño mediante phishing queda en muchos casos en el tejado de quien recibe el email engañoso. ¿Qué puede hacer? Rushing tiene algunos consejos para evitar caer en estas trampas:
- Comprender que este problema no va a desaparecer y no cuenta con grandes soluciones técnicas.
- Estate alerta ante los correos, enlaces o adjuntos sospechosos. Muchos piden acción inmediata y no tienen un aspecto muy convencional. Ante cualquier duda, hay que revisar la dirección de quien lo envía (suele ser distinta a la que pretenden imitar) y no hay que hacer click en sus enlaces.
- Informa de las actividades sospechosas, porque es probable que si te leva un correo de phishing, más compañeros de la empresa lo hayan recibido. Por tanto, avisa al equipo de TI o al de seguridad lo más pronto posible.
- Usa el sentido común y confía en tus instintos. Es algo muy importante en el phishing. Si sientes que algo no va mal, y dudas de por qué te hacen esas preguntas, o ves palabras mal escritas, mejor comprobar que no es un intento de phishing antes de responder y dar información.
- Nunca des direcciones de correo, textos y documentos, información de pago, credenciales de acceso a servicios o cualquier tipo de información sensible a través de email. Tampoco a través de mensajería instantánea. Antes de nada comprueba quién te hace la petición y asegúrate con una llamada de teléfono al servicio o sistema que supuestamente te pide datos. Has de saber que muchos bancos, operadoras de telefonía o conexión a la red, e incluso servicios de Internet, nunca piden por email que facilites datos sensibles, como contraseñas o datos de pago.
- No tengas miedo ni reparos: cuando dudes de algo, pregunta. Es mejor preguntar y pasarse de prudente que no hacerlo y caer en la trampa. Nadie de un departamento de seguridad va a pensar que eres un pesado si algo te parece sospechoso y tienes dudas. Porque si preguntas y te aseguran que es un intento de phishing, no conseguirán que les des información. Y sin ella, no pueden cometer otros ataques a la empresa.
