El timo que no pasa de moda: cómo defenderse del phishingRaúl Alonso 11 octubre, 2019 He recibido un correo del jefe que solicita una transferencia de la cuenta corriente, me informan de que debo renovar mis datos personales del banco, mi asesor vuelve a pedirme las claves de acceso. Mucha atención antes de contestar a estos correos, puede que estemos ante una acción de phishing. Es uno de los ciberfraudes más efectivos, y en los últimos años se centra en las pymes. Aprovechando la supuesta vulnerabilidad de unas redes informáticas menos protegidas, el objetivo principal de los delincuentes es acceder a los ordenadores de administración o contabilidad, las puertas de acceso a su estructura financiera. Como es sabido el phishing se caracteriza por suplantar a una entidad legítima –un organismo de las Administraciones Públicas o una gran compañía, por ejemplo– para obtener información personal y bancaria. Pero en contra de lo que se piensa, el timo no siempre empieza por un correo electrónico. Estas redes utilizan cualquier sistema que permita el envío de mensajes, desde el citado email al SMS, desde cualquier red de mensajería instantánea como WhatsApp a una red social como Linkedin. A mí no me va a pasar Troyanos como el activo RTM está especializado en estos ataques, que encubre con envíos aparentemente profesionales para que el receptor haga clic o descargue un archivo. Tras cualquiera de esas acciones, el ordenador quedará infectado, y la información que pueda almacenar al descubierto. En 2019 también ha sido muy activo Buhtrap. Aunque en origen se especializó en usuarios de banca rusa y ucraniana en la actualidad actúa en Europa y Asia. Es importante no pecar de soberbia dando por hecho que solo cae en la trampa quien tiene la guardia baja. El procedimiento de RTM es el ortodoxo del phising de suplantación de la habitual correspondencia empresarial, pero utiliza efectivas llamadas como ‘solicitud de devolución’, ‘solicitud de pago’ o ‘copias de los documentos del mes’ para, apelando a la urgencia, obligar al receptor a actuar. Hace unos días se alertaba sobre la reactivación de Emotet. Otro troyano especializado en el robo de datos financieros que regresa suplantando correos de alguno de los contactos de la libreta de las direcciones de la víctima. Un truco realmente sofisticado al que hay que prestar atención, porque desde que se activó en 2014 tiene predilección por España. Las variantes son tan infinitas como el ingenio de los delincuentes. También recientemente, Policía Nacional alertó sobre la estafa del CEO. En este caso el responsable de contabilidad de la empresa recibe un correo de su jefe solicitando el cambio de una reunión de forma urgente: “En dicho correo, el supuesto CEO, te envía una un enlace para concertar la nueva cita. Se trata de un calendario de Outlook… Pero es falso. Al identificarte en esa web creyendo que era la original, han conseguido robar tu usuario y contraseña y con ellos acceder a información confidencial de tu empresa”. Otra variante del timo del CEO es que el supuesto jefe informe al contable de que va a realizar una operación financiera confidencial con urgencia. Con este objetivo pide los saldos de las cuentas bancarias y ordena unas transferencias desde un ordenador que ya controla la red criminal. Comprueba que la página es segura Ya no solo para evitar una acción de phishing, como usuarios de Internet es muy importante que nos fijemos en la seguridad de la página que se visita. Solo cuando se compruebe que es segura y se corresponde con la empresa que pensamos se podrá introducir el usuario/contraseña o los datos personales/financieros. En estos casos siempre deben llevar un certificado de seguridad que se representa en la barra de navegación con el icono de un candado. Si se pincha sobre él se confirma que la conexión es segura, figurando a qué empresa pertenece el dominio (certificado EV, Extended Value). Por último hay que fijarse en que el protocolo que figura en la URL (la dirección de la página) sea de seguridad: debe ser HTTPS. Cómo evitar un ataque de phishing Repasamos los consejos de la Oficina de Seguridad del Internauta (OSI) para identificar un código malicioso: 👉 Desconfía de correos de compañías conocidas con mensajes del tipo: Problemas de carácter técnico Problemas de seguridad en la cuenta del usuarioRecomendaciones de seguridad para evitar fraudesCambios en la política de seguridad de la entidadPromoción de nuevos productosVales descuento, premios o regalosInminente cese o desactivación del servicio 👉 Si hay errores gramaticales en el correo, sospecha. Por suerte estas redes no invierten en contratar a un buen traductor. 👉 Actúa con precaución frente a cualquier comunicación anónima que comience con un genérico: ‘Estimado cliente, ‘Notificación a usuario’ o ‘Querido amigo’. 👉 Evita actuar con precipitación. En muchas ocasiones se incita a que el usuario tome una decisión inmediata, algo que no es habitual en ninguna compañía. Lo mejor es confirmar la situación por otros canales, atención al cliente, por ejemplo. 👉 Revisa que el texto del enlace coincida con la dirección a la que apunta. 👉 Revisa la dirección desde la que ha sido enviado el correo electrónico. Una compañía nunca utilizaría un servidor genérico tipo Hotmail. Esta información es clave para identificar un ataque de Emotet, ya que siempre figura la dirección de dos remitentes, el contacto de la libreta de direcciones que suplanta y otra del atacante. 👉 No hagas clic en enlaces ni descargues archivos sin antes comprobar la veracidad de la comunicación. Invierte en seguridad Además es imprescindible que tu pyme invierta en seguridad informática. Es importante que todos los equipos estén actualizados y protegidos con herramientas específicas contra el phishing. El responsable informático debe controlar la seguridad de los accesos remotos, las aplicaciones instaladas y el control del tráfico. Los delincuentes no discriminan por el tamaño de la empresa por eso es importante contratar soluciones de seguridad, que incluya la monitorización de lo que está ocurriendo en los sistemas alertando frente a posibles manipulaciones u órdenes sospechosas. Foto: Pixabay Cómo pueden los algoritmos orientar a un alumno para elegir su carrera profesionalCuatro técnicas de motivación profesional: motivar no es dar ánimos, es dar motivos
Telefónica Pymes AVISO: En Think Big Pymes nos trasladamos A partir de ahora, TODOS los contenidos del blog Think Big Pymes, se trasladan a la Comunidad Empresas, un espacio de referencia para la pequeña y mediana empresa, donde...
Íñigo Morete Ortiz Explora las novedades de Telefónica Open Gateway en su newsletter En la actualidad, acceder a información actualizada es un impulsor indispensable para el progreso empresarial, permitiendo que las empresas avancen de manera más ágil y eficiente. Hoy en día...
Telefónica Pymes Joinup, movilidad sostenible para empresas y empleados Los servicios de movilidad corporativa cada día toman una mayor relevancia en el panorama laboral, una oportunidad de negocio que hace más de una década detectaron Elena Peyró y...
Telefónica Pymes Transformando el calor en frío para ser más eficientes. El caso de Castellana de Carnes ¿Y si el sol pudiera convertir el calor en frío? Seguimos visitando empresas que ya han descubierto las grandes ventajas de pasarse a la energía solar. En esta ocasión...
Raúl Alonso ¿Estás preparado para cumplir con la nueva factura electrónica obligatoria? La obligación para pymes y autónomos de emitir facturas de forma electrónica o digital se demora hasta mediados de 2025. Cierto que aún queda tiempo para prepararse, pero aquellos...
Álvaro Álvarez ¿Cómo mejorar la protección de los datos personales de tus clientes? La protección de los datos personales de los clientes es una prioridad para las empresas. No solo por la obligación de cumplir con la jurisprudencia de la conocida LOPD...