La necesaria concienciación sobre el phishing; el usuario sigue siendo el eslabón más débil de la cadena

No nos cansamos de decirlo y, últimamente, ante las campañas de phishing que se está produciendo, con más fuerza que nunca: el usuario es el eslabón más débil de nuestras organizaciones.

Si estás interesado en la formación y concienciación del usuario no te pierdas las conclusiones de nuestro webinar en el que participan Kaspersky, Sophos, SMARTFENSE y ESET.

Realmente, y gracias a toda la información que compartimos en redes sociales, para un hacker resulta muy sencillo detectar un objetivo potencial dentro de una organización concreta. Tras determinarlo y averiguar su nombre y apellido, localizar su correo de empresa no le llevará mucho tiempo; a diario, los emails corporativos son utilizados para acceder o registrarse en diferentes aplicaciones, servicios o redes sociales, por lo que estos datos fluyen libremente por Internet. No obstante, el proceso puede simplificarse un poco más aún, si la cuenta de correo de la víctima se ha visto comprometida (una situación que se repite más a menudo de lo que creemos) o si el ciberdelincuente en cuestión decide lanzar un envite, para, a través de un correo electrónico falso, obtener las credenciales necesarias del usuario. Por desgracia, esta forma de recabar información sigue dando muy buenos resultados. Tan solo es necesario que el usuario haga “clic” sobre un determinado vínculo o archivo adjunto para, desde allí, ser redirigido hacia una web falsa donde, por supuesto, no encontrará lo que esperaba. ¡Juego, para el hacker!

Seguridad de extremo a extremo

Según un informe de Gartner, a día de hoy, la inversión en seguridad en las empresas se reparte desigualmente. Así, mientras que un 62% del presupuesto se destina a asegurar la red y un 18% a proteger el endpoint, la web y el correo electrónico únicamente reciben un 12% y un 8%, respectivamente. En contraposición, otro estudio de Verizon refleja que el 93% de los ataques dirigidos llegan por email.

A tenor de estos datos, no hay duda de que toda estrategia de seguridad corporativa debe ir encaminada a proteger cualquier punto susceptible de actuar como puerta de entrada a nuestras infraestructuras. ¿De qué sirve contar con las mejores soluciones de seguridad para asegurar las diferentes capas de servicio (perímetro de la red, endpoint, nube pública o privada…) si luego descuidamos otros factores como el correo electrónico?

Comprendida la necesidad de proteger el correo electrónico es necesario aclarar, no obstante, que para salvaguardarlo no basta con implantar una solución AntiSpam tradicional. Cualquier estrategia de seguridad debe tener muy presente al usuario, en tanto en cuanto este es el responsable último de la información que entra o sale de la organización. Por tanto, la solución elegida para preservar la seguridad del correo electrónico debe ser capaz de analizar el origen del email, sus archivos adjuntos, el contenido de dichos documentos, así como los posibles enlaces incluidos en el correo. Dicha solución, además, no debe ser estática, basada en firmas, sino que debe incorporar mecanismos que aseguren una protección dinámica frente a los ataques desconocidos. No obstante, no nos engañemos, incluso protegiendo el correo, es muy difícil detectar y detener un ataque de phishing.

Sí, el phishing también evoluciona

Aunque a la mayoría nos gustaría que no fuese así, lo cierto es que el phishing, mezcla de ingeniería social y malware en cantidades variables, evoluciona sin descanso. Los constantes ataques así lo evidencian.

A la luz de esta realidad, y desde la perspectiva de que el ser humano seguirá “tropezando sobre la misma piedra”, evaluar las opciones que nos quedan puede ser un primer paso en la lucha contra esta lacra. 

Con nuevas variantes y técnicas de persuasión cada vez más ocurrentes, las empresas deben seguir invirtiendo en securizar su infraestructura IT, incorporando las mejores soluciones tecnológicas disponibles, pero, también, apostando por la educación y concienciación de sus empleados. Los trabajadores son los usuarios finales de las cuentas de correo y, como decíamos antes, los responsables de gestionar la información que entra y sale de la empresa. Por tanto, invertir en su formación es trascendental. Un empleado que reciba una formación continuada sobre diferentes tipos de ataques, variantes, técnicas de ingeniería social, etc., estará mucho más familiarizado con dichos modelos que otro al que solo se le haya advertido que tenga mucho cuidado con no abrir correos fraudulentos. Por desgracia, en este tipo de correos, los ciberdelincuentes no utilizan colores estridentes ni caracteres distorsionados, por lo que la formación es la primera barrera de defensa.