Supere a los estafadores: cómo las empresas emergentes pueden evitar los ataques de phishing
Publicado: 2023-11-01Los ataques de phishing van en aumento y las empresas emergentes son los objetivos principales de estas estafas maliciosas. Dado que las filtraciones de datos costaron a las empresas un promedio de 3,86 millones de dólares en 2020 según IBM, es hora de que las nuevas empresas se tomen en serio la idea de evitar el phishing. Si la amenaza de enormes pérdidas financieras no llama su atención, tal vez esta sí lo haga: el 91% de los ataques cibernéticos comienzan con un correo electrónico de phishing.
Claramente, proteger proactivamente su startup de ataques de phishing debe ser una máxima prioridad. Pero con los estafadores cambiando constantemente sus tácticas, ¿cómo pueden las empresas emergentes y los emprendedores ocupados asegurarse de no morder el anzuelo?
Este artículo revelará estrategias clave para reconocer intentos de phishing, evitar que se infiltren en la bandeja de entrada de su empresa, capacitar a los empleados para evitar trampas y aprovechar la tecnología para mantenerse en guardia contra los últimos esquemas. Implemente estas medidas de defensa contra el phishing ahora y estará bien equipado para burlar incluso a los estafadores más astutos.
Con la información confidencial, la reputación y los resultados finales de su startup en juego, no puede permitirse el lujo de engancharse.
¿Qué es el phishing y cómo se dirige a las empresas emergentes?
El phishing es una táctica de delito cibernético que utiliza correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para estafar a los usuarios de Internet para que compartan datos confidenciales como contraseñas e información bancaria. Los mensajes suelen provenir de imitadores que actúan como fuentes confiables, como bancos, compañías de tarjetas de crédito o plataformas de redes sociales. Los enlaces de phishing pueden instalar malware si se hace clic en ellos, y cualquier información ingresada va directamente a los delincuentes.
Estos esquemas frecuentemente apuntan a empresas emergentes porque tienden a tener una seguridad cibernética menos estricta que las grandes empresas. Las empresas emergentes a menudo no tienen el presupuesto ni el personal para mantener defensas contra el phishing de alto nivel.
Además, las nuevas empresas almacenan datos valiosos como propiedad intelectual, información de clientes y finanzas que constituyen objetivos lucrativos. Los empleados de empresas jóvenes pueden estar menos capacitados para detectar intentos de phishing.
Los estafadores pueden obtener fácilmente correos electrónicos del trabajo y mensajes falsos que parecen comunicaciones internas. Además, las nuevas empresas tienden a tener culturas abiertas que enfatizan la colaboración y el intercambio de información entre el personal, lo que hace que los empleados sean más propensos a hacer clic en un enlace de lo que parece ser un compañero de trabajo.
Reconocer señales de alerta: detectar mensajes sospechosos
Los correos electrónicos de phishing pueden parecer increíblemente legítimos, pero hay señales reveladoras a las que todo empleado de una startup debería estar atento:
- Solicitudes de credenciales de inicio de sesión, detalles de cuentas bancarias u otra información confidencial
- Enlaces para hacer clic o archivos adjuntos para abrir
- Direcciones de correo electrónico de nombres de dominio mal escritos o ligeramente alterados
- Mala gramática, errores ortográficos o frases incómodas.
- Lenguaje amenazante o un falso sentido de urgencia.
- Enlaces a sitios web que presentan extensiones extrañas como .co en lugar de .com
Las direcciones de correo electrónico falsificadas que imitan a colegas o líderes son una gran señal de alerta. Otro indicio son los saludos impersonales como "Hola señor/señora", ya que la mayoría de las empresas no se comunican de esta manera internamente. Visualmente, una mala calidad de imagen en los logotipos o un formato extraño pueden indicar un intento de phishing.
Protegiendo su bandeja de entrada
La medida más directa que puede tomar una startup contra el phishing es adoptar protocolos de seguridad de correo electrónico que fortalezcan las bandejas de entrada:
- Habilite la autenticación de dos factores mediante SMS o una aplicación de autenticación para que los empleados puedan confirmar los intentos de inicio de sesión.
- Capacite al personal para que nunca haga clic en enlaces ni descargue archivos adjuntos en correos electrónicos a menos que se verifique que son legítimos.
- Implemente protocolos DMARC y SPF que autentiquen a los remitentes de correo electrónico, evitando la suplantación de identidad.
- Utilice un firewall de correo electrónico para filtrar y poner en cuarentena mensajes sospechosos con enlaces, archivos adjuntos o solicitudes extraños.
- Implemente IA que examine la estructura y el formato de las oraciones para detectar correos electrónicos fraudulentos.
- Incluya en una lista negra los términos y dominios de phishing conocidos para bloquearlos en las bandejas de entrada de los empleados.
La educación continua y la seguridad avanzada del correo electrónico ofrecen en conjunto la mejor defensa contra tácticas de phishing cada vez más inteligentes.
Protección de los datos de la empresa
Limitar el acceso de los empleados a datos confidenciales en función de sus funciones es una táctica clave contra el phishing, al igual que entregar las llaves de la habitación del hotel únicamente a los huéspedes registrados. Establezca permisos para que los equipos de ventas solo puedan acceder a los detalles de los clientes de sus cuentas, evitando un volcado completo de datos de los clientes si son objeto de phishing. Haga que los equipos de TI habiliten la autenticación de dos factores para acceder a las bases de datos, como agregar códigos PIN a las llaves de las habitaciones.
Advierta al personal que no comparta demasiada información de la empresa públicamente en línea o con extraños que se comuniquen con ellos, como mantener cerradas las puertas de las habitaciones de hotel. Deje claro que las consultas sobre datos financieros, especificaciones técnicas y otros IP deben remitirse al equipo de relaciones públicas para que las maneje, como que los invitados vayan a la recepción en lugar de a las puertas de las habitaciones.
Proteja su sitio web y sus aplicaciones internas para que los sitios de phishing que visitan no puedan robar contraseñas mediante el skimming entre sitios, del mismo modo que protege los quioscos de pago del vestíbulo contra los skimmers de tarjetas. Haga cumplir contraseñas seguras que se cambian cada 90 días para proteger las cuentas, como hacer que los huéspedes establezcan nuevos códigos de habitación durante estadías prolongadas.
Capacitar a los empleados para detectar el phishing
Incluya conciencia sobre el phishing en la orientación para nuevos empleados, como si los hoteles revisaran los protocolos de emergencia. Envíe correos electrónicos de phishing simulados para probar las tasas de respuesta del personal, como alarmas de incendio falsas. Ofrezca actualizaciones sobre cómo detectar señales de alerta a medida que evolucionan las estafas, como actualizar mapas de evacuación.
Enseñe a los empleados trucos como pasar el cursor sobre enlaces integrados para obtener una vista previa de los destinos, así como revisar rutas de mapas sugeridas por extraños. Muestre ejemplos de correos electrónicos de phishing reportados y analice anomalías, como la representación de ladrones disfrazados de invitados. Instelos a cuestionar solicitudes extrañas en mensajes para verificar la legitimidad, como confirmar los horarios del servicio de limpieza que se deslizaron por debajo de la puerta.
Promover una cultura de vigilancia en torno a los enlaces y archivos adjuntos, como aconsejar a los viajeros que tengan cuidado con los abogados. Deje en claro que es mejor volver a verificar que arriesgarse a contraer un virus, al igual que verificar que los conductores de transporte estén autorizados por el hotel. Mantenga un diálogo abierto para que el personal se sienta cómodo al señalar mensajes sospechosos.
Mantener la vigilancia en las redes sociales
Supervise las cuentas sociales falsas que se hacen pasar por el liderazgo o la empresa, como vigilar a alguien que se hace pasar por el conserje del hotel. Verificar perfiles oficiales a través de contactos en plataformas sociales, como comunicarse con sitios de viajes para exponer listados fraudulentos. Denuncie a los impostores que intentan realizar phishing a los empleados a través de las redes sociales, de manera similar a denunciar a los estafadores telefónicos que se hacen pasar por personal de recepción.
Evalúe las nuevas conexiones de redes sociales que solicitan acceso a las cuentas de la empresa con un escrutinio adicional, al igual que examina a fondo a los solicitantes de alquiler. Busque ligeras diferencias en los identificadores o marcas que indiquen fraudes, como nombres de hoteles incorrectos.
Solicite videollamadas para confirmar identidades si es necesario, como solicitar confirmación de identificación en el check-in. Limite el acceso a la cuenta únicamente a los miembros del equipo central, como restringir las áreas de personal al personal autorizado.
Manténgase en guardia mientras los estafadores migran a nuevas plataformas. Mantenga actualizadas las políticas de seguridad de las redes sociales y busque nuevas protecciones contra las amenazas de phishing. Recuerde al personal que es mejor tomar medidas preventivas contra el phishing social, como aconsejar a los huéspedes que guarden los objetos de valor en cajas de seguridad.
Conclusiones clave: burlar a los estafadores
Dado que los ataques de phishing se multiplican cada año, ninguna startup puede darse el lujo de ignorar la amenaza de que los estafadores se apoderen de sus datos y de su dinero. Pero como ha revelado este artículo, contraatacar está completamente dentro de sus capacidades. Al combinar la educación de los empleados, los protocolos de seguridad del correo electrónico, el control de acceso y la vigilancia de las redes sociales, su startup puede enfrentarse a los phishers de frente.
No se convierta en otra estadística de phishing que derrama millones debido a un solo clic engañoso. Implemente defensas integrales contra el phishing que permitan a su fuerza laboral reconocer y resistir ataques.
Aproveche las últimas protecciones técnicas para bloquear las bandejas de entrada y autenticar las comunicaciones. El éxito de su startup está en juego. Manténgase concentrado, protegido y deje que su negocio prospere mientras los estafadores buscan su próximo objetivo. Con inteligencia, vigilancia y las herramientas adecuadas, puedes llevar tu startup de forma segura a las costas de la prosperidad y dejar atrás a los phishers.