Cultura de prevención, fundamental frente a Phishing
Aunque ocurren todo el año, los incidentes por fraude aumentan hasta un 50 por ciento entre octubre y enero. La época no es casual: los usuarios están inmersos en actividades de fin de año propios de estas fechas; el número de compradores en línea buscando las mejores ofertas se incrementa de manera exponencial y el personal clave de las empresas sale de vacaciones.
De esto alerta el informe Fraude y Phishing 2018, realizado por F5 Labs en colaboración con Webroot. A nivel global, las compañías más imitadas con phishers son las de tecnología, entre las que están las grandes como Microsoft, Google o Facebook, por nombrar algunas. El sector financiero también es un blanco constante de ataque, dentro del cual los bancos representan el 55 por ciento de esos objetivos.
De acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) de México, el país es uno de los que más ciberataques recibe en América Latina, sólo detrás de Brasil. Además, México reporta un incremento sustancial en este tipo de ataques durante 2018, según cifras del Consejo Ciudadano de la Ciudad de México. Así, las denuncias por phishing han aumentado en 81 por ciento, especialmente las que se realizan a través de teléfonos celulares.
Conciencia y cultura: el mejor contraataque
F5 ha comprobado que la mejor línea de defensa es generar una verdadera conciencia y cultura de prevención frente a este problema. La capacitación enfocada en aumentar ambas puede tener un efecto de mejora considerable y directo en la seguridad. Por ejemplo, las empresas que realizan campañas de capacitación, registran entre un 13 y un 33 por ciento de reducción en el índice de clics de phishing entre sus empleados, según las cifras que arrojan las pruebas de Webroot.
Dado que son estacionales, se espera que los ataques de Phishing continúen. Sin embargo, a continuación, les dejo algunas recomendaciones que se pueden aplicar como parte de las defensas tecnológicas posibles:
- Clasificación de correo electrónico. Etiquetar claramente todo el correo de fuentes externas para evitar el robo de identidad. Un mensaje simple, especialmente formateado, puede alertar a los usuarios para que estén en guardia.
- Software antivirus (AV). El software AV es una herramienta crucial y, en la mayoría de los casos, detendrá el intento de instalación de malware. Es recomendable su actualización diaria.
- Filtrado web. Esta solución bloquea el acceso a los sitios de phishing. Esto no solo evitará una violación a la organización (siempre que el proveedor de filtros web conozca el sitio de phishing), sino que también ofrece una valiosa oportunidad de enseñanza al enviar un mensaje de error al usuario.
- Descifrado e inspección de tráfico. Se recomienda la interrogación continua y granular de todos los flujos de tráfico para identificar rápidamente y reaccionar a los riesgos.
- Inicio de sesión único (SSO, por sus siglas en inglés). Cuantas menos credenciales gestionen los usuarios, menos probabilidades tienen de compartirlas en múltiples aplicaciones, crear contraseñas débiles y almacenarlas de forma insegura.
- Autenticación multifactor. Esta deberá ser necesaria para todos los empleados y todos los escenarios de acceso, incluido el correo electrónico. Incluso si un empleado no obtiene phishing, se corre el riesgo de que los compromisos de servicio de terceros y las credenciales robadas se utilicen en un ataque de relleno de credenciales.
- Reporte de intentos de phishing. Proporcionar un medio para que los empleados denuncien fácilmente el supuesto phishing. Algunos clientes de correo ahora tienen un botón de alerta de phishing incorporado para notificar a TI sobre actividades sospechosas.
- Cambio de las direcciones de correo electrónico. Se debe considerar cambiar las de los empleados si están recibiendo una cantidad inusualmente alta de ataques de phishing de manera continua.
- Utilización de CAPTCHAs. Uso de tecnologías de desafío-respuesta como CAPTCHA para distinguir a los humanos de los bots. Sin embargo, los usuarios pueden encontrarlos molestos, por lo que se puede utilizar en los casos en los que es muy probable que un script provenga de un bot.
- Revisiones de control de acceso. Revisar los derechos de acceso de los empleados regularmente, especialmente aquellos con acceso a sistemas críticos. Estos empleados también deben ser priorizados para la formación de phishing.
- Estar atento a los nombres de dominio recién registrados. Los sitios de phishing son a menudo dominios recién registrados. Cuando F5 revisó la lista de malware activo y dominios de phishing recopilados por Webroot en septiembre de este año, sólo el 62 por ciento seguía activo una semana después.
- Implementación de detección de fraudes web. Implementar una solución de fraude web que detecte clientes infectados con malware. Esto evita que los delincuentes cibernéticos inicien sesión en los sistemas de una empresa, permitiendo que se realicen transacciones fraudulentas.
A medida que las organizaciones mejoran la seguridad de sus aplicaciones web, para los estafadores se vuelve más fácil engañar a las personas que encontrar alguna vulnerabilidad en dichas aplicaciones. Por lo mismo, un marco de control integral que incluya personas, procesos y tecnología es un requisito fundamental para la reducir los riesgos de que un ataque se convierta en un incidente importante.
Carlos Ortiz, director de F5 Networks México