Las 10 amenazas de phishing en las que más "pican" los trabajadores

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Phishing
Phishing

El teletrabajo se ha disparado a raíz de la pandemia de la Covid-19 y, gracias a la tecnología, los trabajadores pueden mantenerse conectados pese a estar distanciados físicamente.

Sin embargo, cuando el trabajo pasa de una oficina protegida por técnicos de seguridad a uno en remoto, pueden surgir algunos riesgos importantes para la seguridad de los datos tanto de las empresas como de los empleados.

Los ataques de phishing han crecido de forma vertiginosa en el último año y los estafadores han aprovechado la pandemia de la Covid-19 para desarrollar nuevos trucos para engañar a los usuarios.

En el marco de la celebración del 8º mes de la Ciberseguridad de la Unión Europea que tiene lugar este mes de octubre, la compañía de ciberseguridad Sophos Iberia ha realizado una investigación para conocer cuáles son los "cebos" utilizados en los ataques de phishing en los que más pican los empleados.  

Las 10 amenazas de phishing en las que más "pican" los trabajadores

Según la investigación de Sophos Iberia, estas son las 10amenazas de phishing, por orden de importancia, en las que más han picado lostrabajadores en el último año:

  1. Código de conducta: El trabajador recibe una carta de RR.HH. que expone los nuevos códigos de conducta de la compañía. Dado que la mayoría del personal sabe que es un contenido de lectura obligatoria, esta es la estafa en la que más caen los empleados.
  2. Resumen del cierre fiscal retrasado: Este e-mail notifica al personal que su documentación fiscal va a llegar con retraso y facilita un enlace en el que conocer de cuánto tiempo se trata ese retraso. Debido a la relevancia de esta información, son muchos los trabajadores que pinchan en el enlace para saber qué pasará con su documentación.
  3. Mantenimiento programado del servidor: Aunque resulte sorprendente que esta amenaza se sitúe en la tercera posición, ya que es probable que muchos trabajadores ignoren este tipo de mensajes, el teletrabajo ha cambiado algunas conductas y saber cuándo se puede interrumpir el acceso es ahora más relevante.
  4. Tiene una nueva tarea: Esta amenaza se trata de un phishing semi-dirigido ya que el administrador simula utilizar el programa interno que use la empresa para que no sea tan obvia la amenaza. Hay que tener en cuenta que los cibercriminales manejan la mayoría de las herramientas empresariales y pueden utilizarlas en tu contra.
  5. Nueva prueba del sistema de correo electrónico: Solo requiere de un clic rápido en un email para ayudar a un compañero. Las probabilidades de que al menos alguien pinche en el enlace son altas.
  6. Actualización de la política de vacaciones: La crisis del coronavirus ha obligado a muchas empresas a cambiar sus políticas de vacaciones. Esta información es de alto interés para toda la plantilla por lo que también es un riesgo importante.
  7. ¿Te has dejado las luces encendidas?: En este mensaje, el administrador del edificio informa de que uno de los coches de los empleados se ha quedado con las luces encendidas. El hecho de recibir un enlace desde el que acceder a la imagen del vehículo en cuestión podría resultar sospechoso, pero también puede pensarse que es un protocolo de RGPD. Muchos trabajadores pincharan solo para asegurarse de que no es su vehículo.
  8. Fallo en la entrega del servicio de mensajería: Este es un truco probado y comprobado que los cibercriminales han usado durante años. Hoy en día, es especialmente creíble debido al aumento de compras por internet y de envío a domicilio. Como en la mayoría de los casos, es el vendedor quién selecciona la empresa de mensajería con la que trabaja es fácil que los trabadores piquen al estar esperando un envío y no saber exactamente qué empresa lo entregará.
  9. Documento seguro: Este truco es ampliamente utilizado en las estafas de phishing, en el que se envió un documento seguro por parte del equipo de RR.HH. con una razón plausible para acceder a él. El e-mail trata de convencerte de que introduzcas las contraseñas donde normalmente no habría porqué hacerlo o te solicitan un ajuste de configuración de tu ordenador para "mejorar tu seguridad" cuando es todo lo contrario.
  10. Mensaje de redes sociales: Las notificaciones simuladas de redes sociales son ganchos muy utilizados. En este caso se trata de una notificación de LinkedIn con el mensaje "Tienes mensajes no leídos de (cualquier nombre)".

Consejos a seguir para no ser víctima de un ciberataque

Ante el riesgo que supone el aumento de los ciberataques dephishing y conscientes de las consecuencias que puede ocasionar que unciberdelincuente acceda a una red empresarial a través del e-mail de uno de sustrabadores, los expertos en ciberseguridad de Sophos Iberia han ofrecido lossiguientes consejos para evitar ser víctima de un ciberataque:

  • Piensa antes de clicar: Aunque a simple vista el mensaje parezca inocente, hay algunos ejemplos que puedes revisar antes de pinchar en el enlace: errores ortográficos que te hagan dudar de que el remitente los cometería, terminología que no es habitual en tu empresa, mensajes de programas que no se usan habitualmente en tu compañía o la solicitud de comportamientos contrarios a las ordenes anteriores, como cambiar la configuración de seguridad.
  • Consulta con el remitente si tienes dudas: Nunca hay que hacerlo respondiendo al  e-mail ya que los cibercriminales estarán preparados para confirmarte lo que consultes y seguir con la estafa. Es recomendable utilizar el directorio corporativo a través de medios fiables o cualquier otro método que te permita comprobar si el e-mail es legítimo.
  • Echa un vistazo a los enlaces antes de pinchar: Los atacantes suelen utilizar servidores temporales en la nube para alojar sus páginas webs de phishing y el nombre del sitio web malicioso suele aparecer en el dominio de la web a la que te dirigen. No te fíes, aunque el nombre del servidor te suene factible, los ciberdelincuentes registran nombres "poco falsos" como el nombre de tu empresa, pero sustituyendo caracteres de texto por número o con ligeras faltas de ortografía.
  • Reporta los correos sospechosos al equipo de seguridad: Las estafas de phishing se envían a muchos usuarios a la vez por lo que, hacer conocedor al equipo de TI de una nueva amenaza, permitirá crear alertas y avisar al resto de la plantilla para que nadie más caiga en la trampa. Para esto es recomendable que el equipo de TI y seguridad cuente con una dirección de correo interna y fácil de recordar donde enviar estos mensajes.

Webinars para repasar las amenazas en ciberseguridad

Finalmente, cabe señalar que Sophos Iberia ha puesto en marcha una serie de acciones con motivo del mes europeo de la Ciberseguridad que incluyen un completo calendario de webinars, tanto para partners como para profesionales y clientes. Este calendario de webinars tiene como objetivo repasar las últimas amenazas en ciberseguridad y conocer cuáles son las mejores soluciones para hacerlas frente.