Suplantación y hurto de datos: de esta manera son los ciberataques en los que más «pican» los trabajadores en recónditoTecnología 

Suplantación y hurto de datos: de esta manera son los ciberataques en los que más «pican» los trabajadores en recóndito

El trabajo desde casa, al que aún fuerza la pandemia, ha provocado que muchos hayan debido hacer cursillos acelerados de ciberseguridad desde el salón. Y es que, las prisas para amoldarse a la nueva realidad, el incremento de la superficie de exposición de las compañías en la red de redes, y la carencia de un conjunto de especialistas a mano, demandan que el usuario esté más atento que jamás a las amenazas. Singularmente, en lo referente al phishing: los ataques en los que el ciberdelincuente suplanta a un tercero -como podría ser una compañía o bien una corporación pública- y emplea ingeniería social para mentir a la víctima y hurtar información. Desde claves de acceso hasta números de tarjera de crédito o bien direcciones.

La compañía de ciberseguridad Sophos ha efectuado una investigación para descubrir cuáles son los «cebos» más peligrosos. Para esto ha empleado una herramienta que simula ataques de phishing y, de esta forma, ver de qué manera reaccionan los empleados. La conclusión, tras efectuar la prueba, es que los ataques amoldados a la nueva normalidad prosiguen siendo capaces de hacer mucho daño. «Estamos viendo ataques asoladores. Ya antes hemos estado hablando con una compañía de seguros del ámbito sanitario que lleva un mes perjudicada por un ciberataque. Con un noventa y nueve por ciento de posibilidades por culpa de un phishing. En estos instantes los ciberdelincuentes están planeando realmente bien este género de ataques y tienen un enorme éxito», explica a ABC Ricardo Mate, directivo general de Sophos.

Suplantando a la compañía
Los ciberdelincuentes pueden hacer mucho daño suplantando a otros miembros de la compañía. Conforme la herramienta de simulacros de phishing de Sophos, llamada Sophos Phish Threat, la primordial amenaza de este género recibe el nombre de «Código de conducta». En el correo los cibercriminales suplantan a los Recursos humanos de la compañía en cuestión y, ahora, apuntan que el empleado debe leer los nuevos términos de conducta de la compañía. «Dado que la mayor parte del personal sabe que es un contenido de lectura obligatoria (pues se trata de Recursos Humanos), es la estafa en la que más caen los empleados», explican desde la firma de ciberseguridad.

Como es frecuente en esta clase de ataques, para poder efectuar la lectura se le pide al empleado que haga «clic» sobre un hipervínculo que le redirige a una página maliciosa donde se le piden una serie de datos personales. Caso de que los comparta, esa información parará a manos de los ciberdelincuentes tras la amenaza. «Estamos observando que los ataques de phishing cada vez están más preparados. Los ciberdelincuentes están sacrificándose para lograr que la mayor cantidad de gente pique. El correo que emplean para el ataque, además de esto, habitualmente llega con el dominio de la compañía, con lo que es realmente difícil saber si se trata de una comunicación oficial », afirma Mate.

Trabajar desde casa no es exactamente lo mismo
Sophos asimismo ha detectado que los trabajadores acostumbran a cometer fallos cuando el e-mail malicioso notifica sobre temas cotidianos; como aquellos en los que se avisa que la herramienta en recóndito estará en mantenimiento o bien en los que se anuncia que se hacen pruebas para poder ver que las cuentas de e-mail marchan apropiadamente. «Es probable que numerosos trabajadores ignoren esta clase de mensajes, mas el trabajo a distancia ha alterado ciertas conductas y saber en qué momento se puede interrumpir el acceso es ahora más relevante», explican desde Sophos.

La compañía de ciberseguridad asimismo ha señalado las amenazas de phishing en las que los cibercriminales llaman a actuar con determinada emergencia, mas sin efectuar ninguna petición que resulte sospechosa en una empresa. Ese es el caso por servirnos de un ejemplo, de correos en los que se anuncia que ha habido algún inconveniente con la entrega de un bulto. «Este es un truco probado y comprobado que los cibercriminales han utilizado a lo largo de años. En la actualidad, es singularmente verosímil debido al incremento de compras en internet y de envío a domicilio», explican desde la firma de ciberseguridad.

Otro correo de phishing que da inconvenientes es en el que se asevera al trabajador que tiene una nueva labor a efectuar. O bien que se ha efectuado un cambio en la política de vacaciones. «La crisis del coronavirus ha obligado a muchas empresas a mudar sus políticas de vacaciones. Esta información es de alto interés para toda la plantilla con lo que asimismo es un peligro importante», apuntan desde Sophos.

Falta de concienciación
El directivo general de Sophos explica que el trabajo a distancia ha provocado que resulte más bastante difícil distinguir una comunicación maliciosa de este tipo: «La gente que trabaja desde casa es más sensible a ser engañada. Tienen menos precucion por el hecho de que no están en un ambiente laboral y eso puede llevarles a distraerse y a romper la cotidianeidad. Por poner un ejemplo, consultando su correo personal o bien empleando herramientas para hacer el trabajo, que no son las adecuadas».

Además, Mate resalta que, pese al paso del tiempo, y de haber tenido tiempo para ponerse al día desde la llegada de la pandemia, aún muchas son las empresas que no han tomado las medidas precisas para robustecer sus sistemas de seguridad: «Muchas compañías han dotado a sus trabajadores en recóndito de ordenadores de empresa y han establecido redes virtuales. No obstante, la proteccion habitualmente es tosca y depende únicamente de un antivirus. Algo que solo garantiza entre un diez y un doce por ciento de proteccion. Queda mucho que hacer en este sentido».

El directivo general de Sophos asimismo resalta que, para eludir ser víctima de un correo de phishing, es determinante que el usuario preste atención a todas y cada una de las comunicaciones que reciba ya antes de hacer nada. «Hay correos de esta clase que están tan bien hechos que pueden llevar a duda al trabajador. De ahí que hay que preguntar con los especialistas de la compañía ya antes de hacer nada. Asimismo hay que sospechar singularmente de todo cuanto no tenga sentido. Por servirnos de un ejemplo, carece de sentido que me llegue un correo de la DGT en el que me afirmen que tengo una multa sin abonar. En cualquier caso me mandarían una carta a mi domicilio», apunta Mate.

ARTICULOS RELACIONADOS

Leave a Comment