encryption

10 consejos para identificar los mensajes de phishing

October 04, 2016
Estelle Derouet

Durante el mes de octubre, a la mayoría de la gente le gusta el tallado de calabazas y los cambios climatológicos, y, a los canadienses, la acción de gracias. Sin embargo, a los que trabajamos en el mundo de la seguridad, una de las cosas más emocionantes en cuanto al mes de octubre es que es el mes nacional de concientización sobre la ciberseguridad. A fin de ayudar a crear conciencia, los 10 consejos siguientes ayudarán a todos a combatir una se las peores amenazas cibernéticas que las organizaciones de hoy enfrentan: los ataques de phishing por correo electrónico.

Las vulneraciones de correo electrónico de empresas (BEC) le han costado a las compañías 3.100 millones de dólares desde enero de 2015 y el phishing por correo electrónico está en su punto máximo. La mayoría de las personas no cuestionan el campo del remitente en el correo electrónico que reciben todos los días, y sin las herramientas adecuadas, no hay razón para confiar en ese campo.

Para las organizaciones, es crucial que su primera línea de defensa en contra del fraude por correo electrónico siempre sea la tecnología de seguridad avanzada. Las puertas de enlace de correo electrónico seguras y las defensas de autenticación del correo electrónico, como DMARC (Domain-based Authentication Reporting and Conformance), constituyen la mejor manera de proteger a sus empleados y clientes.

Lamentablemente, sin importar cuán sofisticada sea la estrategia de correo electrónico de su empresa, algunos mensajes de phishing lograrán llegar hasta la bandeja de entrada. Además, esos mensajes son muy eficaces. Verizon determinó que el 30 por ciento de los destinatarios objetivo abren los mensajes de phishing y que el 12 por ciento hace clic en los archivos adjuntos de correo electrónico malintencionados.

Una pieza crucial de su estrategia de seguridad del correo electrónico debe ser la capacitación. Los siguientes 10 consejos le ayudarán a identificar el correo electrónico de phishing. Le instamos a que los comparta con sus empleados y clientes.

Consejo 1: No confíe en el nombre que se muestra

Una de las tácticas de phishing favoritas entre los cibercriminales consiste en falsificar el nombre que se muestra en los mensajes de correo electrónico. Funciona de este modo: Si un estafador desea hacerse pasar por la marca hipotética “My Bank”, el mensaje podría verse así:

fig-1_3.png

Debido a que el dominio “secure.com” no pertenece a My Bank, las defensas de autenticación no bloquearán este mensaje de correo electrónico en favor de My Bank.

Una vez que se entrega, el mensaje aparenta ser legítimo debido a que la mayoría de los buzones de entrada y los teléfonos móviles de los usuarios solamente muestran el nombre para mostrar. Siempre vea la dirección de correo electrónico del remitente en el encabezado, y si se ve sospechoso, marque el mensaje.

Consejo 2: Vea sin hacer clic

A los cibercriminales les encanta incorporar vínculos malintencionados en texto que suena legítimo. Coloque el puntero del mouse encima de los vínculos que se encuentren en el cuerpo del mensaje. Si el vínculo se ve raro, no haga clic en él. Si tiene cualquier duda respecto al vínculo, envíe el mensaje directamente al grupo de seguridad.

Consejo 3: Vea si hay errores ortográficos

Las marcas se toman muy en serio sus mensajes de correo electrónico. Por lo general, los mensajes legítimos no contienen errores ortográficos ni mala gramática. Lea sus mensajes detenidamente y reporte cualquier cosa que se vea sospechosa.

Consejo 4: Analice el saludo

¿Está dirigido el mensaje a un “valioso cliente” impreciso? Si es así, tenga cuidado, ya que las empresas legítimas a menudo emplearán un saludo personalizado con su nombre y apellido.

Consejo 5: No brinde información confidencial personal o de la empresa

La mayoría de las empresas nunca pide credenciales personales por correo electrónico, sobre todo los bancos. Del mismo modo, muchas empresas han establecido políticas que evitan la comunicación externa con direcciones IP empresariales. Deténgase antes de revelar cualquier información confidencial por correo electrónico.

Consejo 6: Tenga cautela con el lenguaje amenazante en la línea de asunto

Invocar una noción de urgencia o de temor es una táctica común de phishing. Cuídese de las líneas de asunto que afirman que su “cuenta se ha suspendido” o que le piden que actúe respecto a una “solicitud de pago urgente”.

Consejo 7: Verifique la firma

La falta de detalles sobre el firmante o la forma de comunicarse con una empresa sugiere claramente la suplantación de identidad. Las empresas legítimas siempre brindarán detalles de contacto. ¡Búsquelos!

Consejo 8: No haga clic en los archivos adjuntos

La inclusión de archivos adjuntos malintencionados que contienen virus y malware es una táctica común de phishing. El malware puede dañar los archivos que están en su computadora, robarse sus contraseñas y vigilarle sin que se dé cuenta. No abra ningún archivo adjunto de correo electrónico que no se espere.

Consejo 9: No confíe en la dirección de correo electrónico del remitente en el encabezado

Los estafadores no solamente falsifican las marcas en el nombre que se muestra, sino que también lo hacen con las marcas que figuran en la dirección de correo electrónico del remitente en el encabezado, incluyendo el nombre de dominio. Recuerde que solamente porque la dirección de correo electrónico del remitente se vea legítima (por ejemplo: remitente@suempresa.com), no quiere decir que lo sea. ¡Un nombre conocido en su buzón de entrada no siempre es quien usted piensa que es!

Consejo 10: No crea todo lo que vea

Los piratas informáticos son muy diestros en su campo. Muchos mensajes de correo electrónico mal intencionados incluyen logotipos de marca y lenguaje convincentes, y lo que parece ser una dirección de correo electrónico válida. Desconfíe de sus mensajes de correo electrónico: si algo se ve remotamente sospechoso, no lo abra.

Para participar en la conversación sobre seguridad, comparta estos consejos en Twitter con la etiqueta #CyberAware. Si desea obtener más información sobre las amenazas de correo electrónico de impostores, consulte nuestro documento técnico más reciente.