Los ataques de phishing han crecido de forma meteórica durante el último año, debido a que los atacantes no dejan de refinar sus tácticas y, además, porque comparten los tipos de ataque que tienen éxito. Particularmente, están aprovechando la oferta de malware como servicio en la Dark Web para aumentar la eficiencia y el volumen de sus ataques.
No podemos olvidar que se trata de ataques muy rentables. Por poner un ejemplo reciente, la Guardia Civil ha desarticulado esta semana en Mallorca una organización dedicada a la comisión de hechos delictivos mediante ataques de phishing, con los que habrían defraudado cerca de 100.000 euros.
Tampoco se necesitan unos conocimientos muy especializados para pode llevarlos a cabo pero los ciberdelincuentes han evolucionado y cada vez más encontramos menos faltas de ortografía u otras señales obvias que nos hacían sospechar de la legitimidad del mensaje. Además han comenzado a centrarse en determinados grupos para obtener una mayor rentabilidad a sus campañas. De hecho, como alertaba INCIBE la semana pasada, se ha detectado una nueva campaña de phishing cuyo objetivo era estafar a autónomos y empresas españolas.
Los consejos que habitualmente damos para detectar el phishing son cada vez menos efectivos ya que los emails cada ahora están correctamente redactados y están cada vez más dirigidos por lo que a veces un empleado se ve en la obligación de seguir un enlace o descargar un archivo adjunto que considera relevante para su trabajo aunque realmente sea un cebo.
Ya hemos hablado aquí de la importancia de concienciar y formar al eslabón más débil: los usuarios. Muchas veces los trabajadores carecen de la más mínima formación en ciberseguridad y se ven bombardeados por una miríada de correos electrónicos por lo que son el punto de acceso más fácil de atacar para introducirse en las redes corporativas, incluso después de haber implementado medidas de seguridad sólidas.
El phishing es un gran negocio y la formación y concienciación de usuarios es clave para poder cubrir esta brecha. Sophos Phish Threat sensibiliza a los usuarios finales y los pone a prueba mediante simulaciones de ataque automatizadas, formación de calidad de concienciación sobre la seguridad y métricas de informes procesables. Además, ofrece la flexibilidad y personalización que necesitan las empresas para promover una cultura positiva de sensibilización sobre la seguridad. Si quieres probarlo durante 30 días, descárgatelo aquí.
Dejar un comentario