Los diez tips que funcionan para evitar el phishing en tu empresa

Tiempo de lectura: 5 minutos

¿Quién no ha tenido miedo en alguna ocasión a que un hacker le vacíe la cuenta bancaria? Ser víctima de uno de estos ataques de phishing no es solo una condición de ancianos, ni siquiera de gente con poca formación y/o escasas habilidades tecnológicas: cualquiera puede bajar la guardia el día que le llega un correo electrónico en el que tu banco solicita que confirmes tu teléfono de contacto. Y solo te das cuenta cuando el hacker te ha hecho un importante hueco en tus finanzas.

En el ámbito empresarial el phishing es menos frecuente pero mucho más impactante, ya que las cifras que se manejan son mucho más elevadas que en el entorno privado. En los últimos tiempos se han hecho virales algunas estafas realizadas a empresas del sector turístico, pero encontraremos ejemplos en todos los sectores.

Qué es phishing

El phishing se define como la suplantación de la identidad digital de una persona o una empresa con la finalidad de realizar una estafa o apropiarse de datos de la víctima y obtener un beneficio de ello.

Los hackers que realizan ataques mediante técnicas de phishing han sofisticado sus métodos y, en la actualidad, no se limitan a remitir emails con malware, links engañosos o suplantar websites reales. Sus métodos pasan ahora por introducirse en el correo corporativo, remitir correos en tu nombre solicitando transferencias falsas o remitirte facturas de un proveedor real, que han obtenido de tu propio email y han falsificado, indicando una cuenta de pago que nada tiene que ver con el proveedor.

Diez recomendaciones para no ser víctima del phishing

  1. Analiza el email o la llamada que recibes con espíritu crítico.
  2. Si tienes dudas, confirma el contenido por teléfono o en persona.
  3. Si hay dinero o datos sensibles, siempre confirma la solicitud en persona.
  4. No descargues documentos ni software en tu ordenador profesional.
  5. Busca en internet el contenido del email.
  6. Llama a un compañero, a tu jefe o a un amigo
  7. Incluye elementos de seguridad activos en tu red que te protejan.
  8. Mantén tu ordenador actualizado y protegido ante virus y malware
  9. Si sospechas que has sido víctima del phishing, ¡corre!
  10. Realiza una auditoría de seguridad

¿Deseas contactar con un especialista?

Analiza el email o la llamada que recibes con espíritu crítico.

No creas a pies juntillas todo lo que recibas. De hecho, debes leer cualquier comunicación que recibas partiendo de la desconfianza y, desde ahí, buscar señales de que la comunicación es confiable.

Correos electrónicos

  • Los correos electrónicos que provienen de hackers son escritos, en muchas ocasiones, por extranjeros. Y esto se denota en una incorrecta ortografía o una sintaxis errónea, lo que hace difícil leer el email.

Las empresas disponen de equipos profesionales de redacción. Ninguna de ellas te remitirá un correo electrónico con erratas o incomprensible.

  • Los hackers suelen ser poco cuidadosos con el diseño. Desconfía de los emails feos, poco cuidados o excesivamente sencillos.
  • Comprueba minuciosamente los links que incluyen. En la mayoría de las ocasiones, el dominio al que te remiten no es el del proveedor al que están suplantando. Es cierto que esto exige un cierto entrenamiento.

Si no sabes hacerlo, pide a un amigo que te enseñe cómo comprobarlos.

  • Desconfía de correos con un asunto te urge a tomar una acción. Las urgencias en este tipo de comunicaciones suelen denotar fraude.

Llamadas de teléfono

  • Si recibes una llamada con el siguiente patrón, denota fraude:
    • Alguien nos llama y se presenta como empleado de una empresa que nos provee servicios.
    • Te describe un problema que tú no sabías que tenías.
    • Te ofrece una solución.
    • El operador nos obliga a tomar una decisión en el momento, no nos permite colgar, nos indica que debemos contratar la oferta en la llamada.
    • Te solicita tu dirección de correo electrónico, datos personales, cuenta bancaria, tarjeta de crédito.
    • Si solicitamos al operador cualquier dato que nuestro proveedor dispondría (número de la última factura, fecha de nuestro contrato, etc…) no es capaz de facilitarlo.
  • Si no has solicitado un contacto con la empresa a la que representa, desconfía. Dile que te llame al día siguiente y realiza una investigación.
  • Desconfía de cualquier oferta fuera de lo habitual. No creas que has encontrado un filón, posiblemente te estén estafando.

Si tienes dudas, confirma el contenido por teléfono o en persona.

Si te queda cualquier duda tras estos primeros pasos, no sigas adelante.

No aceptes el producto que te ofrecen, no caigas en la tentación del chollo. Si la llamada es cierta podrás comprobarlo en el website del proveedor y el operador no tendrá problema en repetir la llamada al día siguiente.

La mejor opción para quedarte tranquilo es llamar tú mismo a las oficinas del proveedor o comprobar la veracidad de lo que te indican en su website.

Marcas más afectadas por phishing
Marcas más afectadas por phishing durante el segundo trimestre de 2020

Si hay dinero o datos sensibles, confirma la solicitud en persona.

Siempre. En cualquier caso, si te solicitan datos o accedes a un servicio donde puedas manejar fondos (banco, paypal, stripe, fintech, etc…) no los facilites. Nunca.

Contacta con el proveedor y confirma que es cierto el requerimiento que te hacen.

Siempre será mejor demorar la contratación de la oferta, o incluso perderla, que exponerse a que vacíen tus cuentas bancarias o generen cargos en tus medios de pago mediante phishing.

No descargues documentos ni software en tu ordenador profesional

Descargar software gratuito de fuentes no confiables (y en esto están incluidos los repositorios de software gratuito y los sitios que ofrecen software pirata) es una mala idea. Si mantienes un antivirus/antimalware actualizado podrás observar como muchos de ellos producen avisos de infección.

Busca en internet el contenido del email.

¿Más dudas? Busca en internet el asunto del email, de la llamada, el proveedor o cualquier otro contenido que consideres importante. Saldrás de dudas; a no ser que se dé la improbable casualidad de que seas de los primerísimos en sufrir el ataque, los fraudes están denunciados y documentados en websites que se crean con este fin. Y si es una oferta, podrás leerla en el website del proveedor.

Llama a un compañero, a tu jefe o a un amigo

Es difícil que a estas alturas tengas dudas, pero nunca está de más pedir consejo a tu jefe, a un compañero o a un amigo, en este orden. Cuatro ojos ven más que dos, es posible que ya conozca el tema por comentarios de terceros.

Incluye elementos de seguridad activos en tu red que te protejan.

Seas una corporación, una gran empresa o una PYME, siempre hay medios que puedes utilizar para poner las cosas difíciles a los que pretenden robarte.

Los elementos de seguridad activos, como los firewalls UTM, serán de gran ayuda para protegerte. Créelo, una acción de phishing busca efectividad inmediata, porque saben que, una vez descubiertos, son bloqueados inmediatamente.

Estos elementos no sólo te ofrecen seguridad analizando los elementos que son recibidos en la empresa; además, impedirán el acceso a tus datos, lo que te protegerá del acceso a tu correo, a tus cuentas bancarias y, como comentábamos al principio del artículo, a la innovadora práctica de suplantar a altos cargos de la empresa

Además, estos dispositivos suelen disponer de listas negras de IPs, remitentes de correo, asuntos en el email, documentos de descarga, etc… que refuerzan tu seguridad.

Indice de vulnerabilidad al phishing por tipo de usuario
Indice de vulnerabilidad al phishing por tipo de usuario

Mantén tu ordenador actualizado y protegido ante virus y malware

Como habrás oído en numerosas ocasiones, mantener el sistema operativo, las aplicaciones instaladas y tu antivirus actualizado es una de las mejores ideas, una obligación, que puedes tener para estar protegido ante el phishing.

Si sospechas que has sido víctima del phishing, ¡corre!

Cambia las contraseñas de tus bancos, de Paypal, de Stripe y otros. Desactiva tus tarjetas de crédito o llama inmediatamente a su línea gratuita para que ellos lo hagan. Bloquea tus cuentas temporalmente. Apaga tu router y formatea tu PC. ¡Y no olvides tu móvil!

Realiza una auditoría de seguridad

Por último, siempre es muy recomendable encargar a una empresa externa la realización de una auditoría de seguridad que ponga al descubierto las debilidades de tu red.

¡Tu cuenta de resultados podría agradecértelo!

Beñat Knorr
+ artículos