Los atacantes emplean phishings más dirigidos para atraer a más víctimas

  • Endpoint

Phishing

Los ciberdelincuentes evolucionan sus técnicas a la vez que modernizan los ataques de phishing. Para ello se valen de la utilización de correos legítimos previamente comprometidos, el uso de enlaces acortados, o la creación de portales de acceso cada vez más elaborados.

A pesar de que muchos usuarios siguen pensando que el phishing sigue consistiendo en emails pobremente redactados y que quien cae en esta trampa se lo merece por no haberse fijado lo suficiente, la realidad es que los delincuentes han estado perfeccionando las campañas de phishing desde hace años para hacerlas más creíbles y conseguir así nuevas víctimas.

Este tipo de ataques se propagan de forma cada vez más dirigida no solo a nivel nacional, sino a usuarios de ciertas regiones o autonomías. Los ciberdelincuentes, se están aprovechando de phishings más dirigidos, incluso algunos empleando lenguas cooficiales, para atraer cada vez más víctimas. “Aunque parezca más habitual los casos de phishing en inglés, como el ejemplo anterior, esos correos fraudulentos pueden estar en cualquier otro idioma como el español o incluso en lenguas cooficiales del estado español, como el catalán”, declara Josep Albors, director de Investigación y Concienciación de ESET España.

Los antiguos consejos a la hora de detectar casos de phishing ya no sirven actualmente. Es importante realizar una formación continua entre los empleados, con ejemplos lo más cercanos posibles a los reales y de una forma didáctica que no persiga encontrar culpables, sino aumentar la concienciación y la capacidad de detección de este tipo de correos.

Además, a pesar de esta mejora en las técnicas usadas por los delincuentes, las soluciones antiphishing pueden seguir filtrando un elevado número de mensajes que no llegarían a las bandejas de entrada de los usuarios, o bloqueando las webs usadas para robar credenciales o descargar archivos maliciosos.

En cualquier caso, ESET recuerda que la formación y los esfuerzos de concienciación sobre el phishing deberían ser solo una pequeña parte de una estrategia más amplia hacer frente a las amenazas de ingeniería social existentes. Estos esfuerzos, apoyados por controles de seguridad adicionales (como la autenticación multifactor) son esenciales para mitigar posibles ataques de phishing y otras ciberamenazas.