El Phishing, conocido popularmente como suplantación de identidad, es un un modelo de abuso informático. Consiste en el uso de técnicas de ingeniería social y engaño que pretenden obtener información confidencial de forma fraudulenta (contraseñas, datos bancarios…). Normalmente el vector de transmisión de estos engaños es a través de correos electrónicos que simulan ser empresas o instituciones reales.
La tendencia al alza de esta modalidad de ataque informático es innegable. De acuerdo con el informe Spam and phishing in Q3 2018 de Kaspersky Lab, fueron más de 137 millones los intentos de visitas a web fraudulentas que se detectaron en el tercer trimestre. Es decir, un crecimiento de más del 25% respecto al trimestre anterior. En otras palabras: un volumen del 50% del año pasado en solo 3 meses.
Pagos online y eCommerce, blancos predilectos del Phishing
De estos millones de ataques, un tercio se han detectado en empresas del sector financiero. Sin duda es un sector muy jugoso dada la naturaleza de los datos que manejan. ¡Los atracos a mano armada en las oficinas son mucho menos lucrativas que el phising! eCommerce, bancos y sistemas de pago son los subsectores más afectados.
Además, la complejidad y sofisticación de los ataques es mayor, con reclamos cada vez más verosímiles. Así, por ejemplo, en los últimos tiempos el lanzamiento del nuevo iPhone ha sido un gancho muy utilizado. Desde Metafrase llevamos un tiempo alertando de estas amenazas, en este post te damos algunas claves para identificar un ataque de Phishing.
El factor humano como clave de bóveda de la seguridad
El Phising es una modalidad de amenaza que se ejecuta en máquinas, pero que desgraciadamente basa su éxito en la falta de pericia humana. La naturaleza de los ataques, desencadenados por los usuarios, hace difícil su prevención a nivel ciberseguridad. Cuando somos nosotros mismos los que tecleamos nuestro teléfono o número de cuenta en una falsa web que recibimos en el email del trabajo hay dos dimensiones. Una: el filtro de SPAM del email, el cual no es infalible. Dos: la negligencia personal que supone teclear o clicar enlaces sin dudar siquiera sobre su legitimidad.
Por tanto el impacto del Phising en una organización es muy dependiente del nivel de concienciación de los usuarios. ¿Están formados, saben identificar un correo electrónico fraudulento? La solución es sencilla: un curso de concienciación mediante ataques simulados. Solución en la que Sophos y Metafrase tenemos mucha experiencia.