Cómo evitar que el phishing dañe a tu empresa o la reputación de tu marca

 Por Bryan Rozo, gerente de Enterprise para Colombia en Kaspersky

Navegando en Internet, todos somos presas atractivas para los “pescadores digitales” o, mejor dicho, para los ciberdelincuentes dedicados a crear campañas de phishing en las que utilizan señuelos llamativos para los internautas. El phishing es un conjunto de técnicas de ingeniería social que buscan engañar a las víctimas, haciéndose pasar por una empresa, entidad o servicio conocido o de confianza, para lograr que los destinarios caigan en una estafa, simplemente haciendo “clic” en un enlace e ingresando datos personales.

De acuerdo con el Informe Anual 2021 de Spam y Phishing de Kaspersky, el año pasado los estafadores involucrados en la creación y distribución de correos no deseados (spam) y phishing se valieron de temas sobre inversiones muy lucrativas, estrenos mundiales de series o películas famosas y por supuesto, aquellos relacionados con el COVID-19 para “pescar” a sus víctimas. De hecho, Kaspersky, empresa global de ciberseguridad, bloquea más de 15,000 URLs de phishing y estafas. En 2021, nuestro sistema antiphishing evitó que se hicieran 253,365,212 clics en enlaces de phishing.

Esta amenaza no solo tiene a los usuarios finales en la mira, sino también a las empresas. Según el informe, el tema de COVID-19 también fue un tema relevante para los correos electrónicos de phishing dirigidos al sector empresarial. Uno de los principales objetivos de estos correos es convencer al usuario de que haga clic en una página con un formulario falso y que introduzca el nombre de usuario y contraseña de la cuenta corporativa. Según nuestros analistas, los autores utilizaron “carnadas” como anuncios de indemnizaciones del gobierno asignadas a los empleados de una determinada empresa. Lo único que había que hacer para recibir la promesa era “confirmar” una cuenta de correo electrónico en el sitio fraudulento. Dado que las modalidades remotas e híbridas nos acompañarán a largo plazo, es poco probable que se agote la demanda de cuentas corporativas por ciberdelincuentes en los distintos servicios.

Para un usuario, las consecuencias de caer en estas estafas son conocidas (robo de identidad o fraudes financieros), pero analicemos qué sucede si una empresa no puede eliminar el contenido adverso asociado a su marca. La primera consecuencia es justamente, que sus clientes pueden ser víctimas de sitios web con suplantación de identidad y proporcionar a los atacantes acceso a su información personal y financiera.

La segunda consecuencia es que las empresas también pueden enfrentarse a graves filtraciones de datos u otras amenazas causadas por campañas de phishing dirigidas (spearphishing). Los ciberdelincuentes saben que los empleados suelen ser el eslabón más débil en la cadena de ciberseguridad, por ello centran sus ataques en colaboradores de áreas ajenas al departamento de TI, quienes no están familiarizados con las amenazas en línea y los riesgos potenciales. Todo esto puede provocar daños a la marca, así como una pérdida de ingresos y de confianza de los clientes.

Dar de baja los dominios maliciosos y de phishing asociados con la marca es un proceso complejo que requiere conocimientos especiales, recursos y tiempo; factores que no necesariamente tienen los equipos de seguridad de las empresas, o bien, no cuentan con suficiente personal o presupuesto para lograrlo. Afortunadamente, hoy existen en el mercado soluciones que garantizan una protección eficaz de los servicios en línea y la reputación de las compañías. Es importante que este tipo de servicios aseguren una cobertura global, pues de esta manera, independientemente de la ubicación del dominio de phishing malicioso, estos enlaces pueden ser eliminados o deshabilitados rápidamente.

Las soluciones para dar de baja contenidos maliciosos o Take Down Services, que en algunos casos están integrados a los Servicios de Inteligencia de Amenazas, trabajan de la siguiente manera: el proveedor prepara todas las pruebas necesarias, incluyendo una copia del sitio web, capturas de pantalla y volcado de tráfico, tanto manualmente como a través de herramientas automatizadas; luego, envía la solicitud de eliminación a la autoridad local o regional pertinente que tiene los derechos legales para cerrar el recurso. El cliente será notificado de cada paso del proceso hasta que el dominio solicitado sea eliminado con éxito.

El phishing es un negocio tan lucrativo para los estafadores que no vemos su fin a la vista. Las herramientas utilizadas para los ataques de phishing son muy accesibles y su capacidad de alcance es enorme, sobre todo en redes sociales. Asimismo, no requieren de mucho esfuerzo por parte de los criminales, ya que la mayoría de las acciones se realizan de manera automatizada. Por lo tanto, es imprescindible que las empresas cuenten con recursos que les ayuden a mitigar rápidamente las amenazas que representan los sitios maliciosos y que capaciten a todo su personal para prevenir daños que pongan su operación y reputación en riesgo.