Proteja su pequeña empresa de los ataques de phishing
Publicado: 2021-07-27Pregúntele a cualquiera y ellos o alguien que conocen habrá experimentado un ataque de phishing. No solo eso, sino que probablemente conozcan a alguien que realmente perdió dinero a causa de uno.
El phishing sigue siendo el tipo más común de ataque cibernético, con un 74% de organizaciones en los EE. UU. atacadas con éxito en el último año. Desafortunadamente, las pequeñas empresas son particularmente vulnerables porque generalmente carecen de los recursos y el conocimiento necesarios para protegerse contra estos ataques.
¿Por qué a los hackers les gusta apuntar a las pequeñas empresas?
La mayoría de las veces, las pequeñas empresas tienden a sentir que la ciberseguridad no es relevante para ellas porque no tienen la gran cantidad de datos o activos financieros que creen que buscan los piratas informáticos, entonces, ¿por qué molestarse en dedicar tiempo y esfuerzo para protegerse? ?
Sin embargo, este es exactamente el tipo de mentalidad en el que confían los ciberdelincuentes, ya que estas empresas no implementarán medidas de seguridad efectivas, lo que las convierte en objetivos fáciles para los piratas informáticos. Las pequeñas empresas no tienden a invertir en capacitación en seguridad cibernética para sus empleados, por lo que es mucho más probable que los ataques de phishing, que están diseñados para engañar a las personas, tengan éxito cuando el destinatario no tiene los conocimientos necesarios para manejarlos.
Para algunos ataques, las pequeñas empresas ni siquiera son el objetivo final. El hacker usa una pequeña empresa como un punto de entrada fácil, un trampolín hacia empresas más grandes en la cadena de suministro que realmente los recompensará. Estos ataques a la cadena de suministro van en aumento y casi siempre comienzan con una pequeña empresa que simplemente no tenía las defensas cibernéticas para protegerse adecuadamente.
¿Cómo funciona el phishing?
Los ataques de phishing siguen siendo uno de los tipos de ataques cibernéticos más frecuentes en las empresas, con 241 324 incidentes solo en los EE. UU. el año pasado. La Encuesta de infracciones cibernéticas del gobierno del Reino Unido en 2021 también reveló que el phishing es el vector de amenazas número uno, responsable del 83% de los ataques.
Hackear un sistema requiere tiempo y esfuerzo, pero conseguir que alguien le dé acceso a esos sistemas aprovechando su confianza y engañándolos es mucho más fácil. El phishing por correo electrónico está dirigido específicamente a humanos y, a menudo, utiliza técnicas de ingeniería social para atraer al usuario para que proporcione información confidencial o haga clic en un enlace que desencadena la instalación de malware o ransomware en el sistema del destinatario.
Usted podría ser el objetivo como parte de una campaña masiva o puede ser un ataque más específico y más pensado en su organización. En el último caso, los piratas informáticos pueden usar cierta información sobre su empresa u otros empleados para hacer que el correo electrónico suene más convincente. Este tipo de ataque se conoce como spear phishing.
Los casos de compromiso de correo electrónico comercial hacen que sea particularmente difícil detectar a un estafador porque, por lo que puede ver, está recibiendo un correo electrónico legítimo de un colega o socio comercial. Este tipo de ataques se utilizan para alentar a los empleados, clientes o cualquier persona en la cadena de suministro a proporcionar datos confidenciales o transferir fondos (que, por supuesto, se dirigirán a la cuenta bancaria del pirata informático).
La pérdida financiera puede ser una repercusión grave para una pequeña empresa involucrada en un ataque de phishing, pero las cosas pueden empeorar mucho si las personas ajenas a su organización se convierten en el objetivo a través de su empresa. Si los piratas informáticos logran acceder a la cuenta de un empleado y enviar correos electrónicos a los proveedores, clientes o socios de su empresa, podría afectar gravemente estas relaciones de confianza y perder negocios debido a la preocupación de que su empresa no es segura.
Cómo detectar un ataque de phishing
Todos pensamos que sabemos cómo detectar uno, pero los correos electrónicos de phishing de hoy en día son mucho más sofisticados y requieren niveles de vigilancia aún más altos.
Entonces, ¿qué puedes buscar?
- Mire siempre de cerca al remitente. Los dominios falsificados pueden ser simplemente un dominio de confianza que se ha alterado sutilmente, por ejemplo, una 'i' en '1'
- Revisa el contenido. Si se hacen promesas sospechosas y parece demasiado bueno para ser verdad, probablemente lo sea.
- Tenga cuidado con el tono. Los piratas informáticos a menudo utilizan la urgencia en los correos electrónicos de phishing para convencerlo de que actúe antes de que haya tenido la oportunidad de pensar.
- Ortografía y gramática. La ortografía y la gramática correctas no siempre son el punto fuerte de un pirata informático, por lo que los errores obvios pueden ser una señal de spam.
En cuanto a las estafas BEC, que suelen ser mucho más difíciles de detectar, es importante tener cuidado antes de enviar cualquier información. Las estafas populares incluyen enviar facturas falsas a los clientes, hacerse pasar por alguien de la alta gerencia para solicitar dinero a los empleados o hacerse pasar por abogados para solicitar dinero a los clientes. En general, se recomienda que verifique dos veces cualquier solicitud de transferencia de dinero que llegue a su bandeja de entrada.
¿Qué puedes hacer como pequeña empresa?
Formación de los empleados
La clave para proteger su negocio de los ataques de phishing es asegurarse de que el personal esté debidamente capacitado, ya que el error humano es la razón por la que un intento de phishing tiene éxito. Es responsabilidad de un director ejecutivo o propietario de una organización garantizar que los empleados tengan la orientación correcta sobre los ataques de phishing, cómo detectarlos y qué hacer si se encuentra con uno.
Cultivar una cultura de seguridad y conciencia y asegurarse de que los empleados tengan el conocimiento correcto es especialmente importante cuando algunos usuarios pueden estar trabajando desde casa, porque hay menos visibilidad y control en estos entornos.
Las políticas de seguridad son una buena manera de transmitir esta guía y asegurarse de que los empleados la lean y la comprendan como parte del proceso de incorporación de empleados. Los ejercicios de seguridad cibernética también son una buena manera de probar este conocimiento: hay muchos ejercicios en línea que se pueden usar de forma gratuita, como el 'ejercicio en una caja' del NCSC. Por unos pocos dólares al mes, otras empresas pueden brindar capacitación en seguridad, como simulaciones de phishing, donde puede rastrear las respuestas de los empleados.
Control de acceso
Es útil limitar la cantidad de puntos de entrada valiosos que un pirata informático podría explotar al reducir los privilegios de cuenta en toda su empresa. El personal solo debe poder acceder a lo que necesita para desempeñar su función laboral.
De esa manera, si un ciberdelincuente piratea su cuenta, no puede acceder a todos los datos confidenciales de la empresa y se puede contener la infracción. Las cuentas de administrador deben reservarse para la gestión de alto nivel. Para proteger aún más sus cuentas contra violaciones, practique una buena seguridad de contraseña y asegúrese de que la autenticación de múltiples factores esté activada.
Copias de seguridad
Realizar copias de seguridad periódicas de todos los datos confidenciales dentro de su organización significará que no se perderá todo si un pirata informático logra obtener acceso a través de un intento de phishing. Idealmente, su estrategia de copia de seguridad debe cumplir con la mejor práctica de tres copias: dos en diferentes medios, una fuera del sitio, y todas las copias de seguridad deben cifrarse para mayor seguridad. Puede optar por realizar una copia de seguridad con un proveedor de la nube o una unidad externa, pero sea cual sea el método, deben ser monitoreados y revisados regularmente para garantizar que la recuperación sea posible.
software de seguridad
Garantizar que el software de seguridad esté siempre actualizado es imprescindible para protegerse contra infracciones y ataques de phishing. Estos a menudo están configurados para actualizarse automáticamente, pero siempre vale la pena verificar los últimos parches. Si bien la capacitación de los empleados desempeñará el papel más importante en la prevención de ataques de phishing, las medidas de seguridad adicionales son útiles porque no siempre se puede garantizar que los humanos lo hagan bien, sin importar cuánta capacitación y vigilancia cibernética tengan.
Se pueden implementar soluciones de seguridad de terceros para que funcionen en segundo plano, monitoreando la actividad de correo electrónico de los usuarios, los intentos de inicio de sesión y las descargas de archivos, de modo que cualquier anomalía o cuenta violada se encuentre e informe rápidamente. Estos pueden ayudar a crear una red de seguridad para que, incluso cuando un empleado de la empresa cometa un error, no tenga por qué ser desastroso.
Conclusión
Proteger a su organización de los ataques de phishing no tiene por qué ser costoso ni llevar mucho tiempo, pero es fundamental que las pequeñas y medianas empresas tengan un enfoque por niveles, asegurándose de que el personal reciba la capacitación adecuada, además de administrar y configurar el software correctamente para seguir construyendo. tus defensas
¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.