¡Inocente: no te dejes engañar por el phishing!

Publicado el 28/12/2016
¡Inocente: no te dejes engañar por el phishing!

Por si aún no os habéis dado cuenta, hoy es 28 de diciembre. En los medios de comunicación y en las redes sociales circulan noticias-broma de esas que primero nos provocan desconcierto y después, cuando caemos en el engaño, una sonrisa. Hoy, el día de los Santos Inocentes, las bromas de este tipo están permitidas. Pero hay otro tipo de engaños que no nos harán reír y, además, suelen aparecer varios días del año: se trata del phishing. ¿Sabes de qué hablamos y cómo protegerte?

Cada dos por tres nos avisan de campañas de mensajes de este tipo que suplantan a entidades legítimas para capturar nuestros datos o infectarnos. Nos llegan por email, redes sociales o por teléfono. Suplantan entre otros a la Agencia Tributaria, a Correos, a compañías eléctricas, a proveedores de telefonía e internet y a las entidades financieras.

Como empresas somos usuarios de servicios de terceros (banca, suministros, AAPP,…)  y  puede que nosotros mismos ofrezcamos servicios a través de internet. Por eso el phishing nos puede afectar doblemente.

  • Puede que recibamos y nos dejemos engañar por correos que suplantan la identidad de proveedores para «pescar» nuestras credenciales u otra información, o para «invitarnos» a descargar e instalar malware con alguna finalidad maliciosa.
  • Puede que nuestra web, si está poco protegida o si consiguen las credenciales de acceso del administrador, se convierta o albergue una página fraudulenta que suplanta a otra empresa, como en esta historia real y termine en una lista negra.

En ambos casos pueden verse comprometidas nuestras cuentas, nuestro email, nuestra web, nuestras redes sociales,... Por esto, si recibes comunicaciones de este tipo, ya sea por correo, mensajería instantánea o por teléfono tienes que estar avisado. Así es como has de actuar:

  1. Si no lo has hecho ya, instala un antivirus que incluya funcionalidades de antiphishing para correo y páginas web. Mantenlo actualizado, con las firmas al día y activado.
  2. Actualiza el software de tus sistemas y de tu web en cuanto conozcas que hay una actualización. El malware que acompaña al phishing se aprovecha del software desactualizado.
  3. Si has recibido una comunicación en la que te urgen a enviar contraseñas u otros datos personales o confidenciales, hacer clic en algún enlace o descargar algún archivo, ¡desconfía y espera! En ningún caso actúes con urgencia ni bajo presión.
  4. Ante la duda, contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje.
  5. Antes de enviar información en respuesta a un correo o llamada, revisa la identidad del remitente y si le conoces. Si es una web dónde vas a hacer login, comprueba que no es falsa. Mira si tiene certificado https, ábrelo y comprueba si es realmente la entidad que debería ser. Las entidades que se precian tienen que tener certificados de entidades reconocidas. Las web que suplantan a otras entidades también pueden utilizar https, por ello es necesario que nos familiaricemos con la información que hay en el certificado.
  6. Cuando introducimos datos personales como el correo electrónico en una web es necesario leer su política de privacidad y Aviso Legal (y las condiciones de contratación en caso de contratos). Aun siendo páginas lícitas, si no comprendemos bien lo que ahí está escrito podemos estar consintiendo que vendan a terceros nuestros datos. Nuestro email podría terminar en manos de ciberdelincuentes que envían correos de phishing.
  7. Si recibes un mensaje con una URL donde hacer clic, no te precipites. Pasa el ratón sobre el enlace para comprobar a dónde te lleva. El navegador o el cliente de correo te mostrarán la URL definitiva. Comprueba que es la dirección que corresponde a tu interlocutor real (tu proveedor o a la Agencia Tributaria, por ejemplo). Muchas veces utilizan URL parecidas, en las que hay una letra de más o de menos.
  8. Desconfía de las URL acortadas, pues no podemos comprobar si el destino es legítimo o no. Como norma general las entidades financieras, de suministros (agua, luz, gas,…) y gubernamentales, no harán uso de direcciones acortadas, para evitar que puedan suplantarles. Puedes instalar algún complemento o plugin para tu navegador que te ayude a expandirlas antes de hacer clic.
  9. Cuando descargues un documento adjunto a un mensaje y al abrirlo te lance una ventana en la que te pide permiso para habilitar el contenido (como las legítimas de Office), no te fíes. El software que descarga el malware puede estar programado para simular esta ventana y al hacer clic en el botón de «habilitar contenido», se inicia la descarga del malware. Por eso es una buena medida, habilitar sólo contenido de fuentes fidedignas.
  10. Ante la menor sospecha: ¡borra ese mensaje o cuelga esa llamada!

Si tú y tus empleados seguís estos consejos, podréis hacer frente a los mensajes y llamadas de phishing. Este empresario nos cuenta lo que le pasó y cómo aplicar estas medidas.

¿Sabrías actuar ante un incidente de este tipo?

Imagina que un día descubres que tu web contiene un phishing. ¿Sabrías cómo actuar? Ter retamos a hacer un simulacro en tu empresa con este juego de rol. A partir de hoy estará disponible el ejercicio para responder a un supuesto incidente de phishing. ¿Queréis comprobar si estáis preparados?

¡Qué no te engañen!

Ya sabes cómo hacer para que no os engañen con el phishing. Y es que, al contrario que las bromas del día de los inocentes, estos engaños no tienen ninguna gracia. Cómo decía algún filósofo griego: «Si me engañas una vez, tuya es la culpa; si me engañas dos, es mía.» Pero ahora que sabes cómo protegerte, si picas en un phishing, no tienes escusa.