¿Por qué en esta época de confinamiento debemos prestar más atención que nunca al phishing?

La situación sanitaria actual ha obligado a muchas empresas a implementar, a marchas forzadas en algunos casos, un modelo de trabajo a distancia para el que no sabían si estaban preparadas. La idea de teletrabajo suena idílica en la cabeza de muchos empleados, pero los departamentos responsables de aterrizar esa idea y ponerla en funcionamiento se han enfrentado (y siguen haciéndolo) a múltiples retos de logística, dimensionamiento de sistemas, y sobre todo, de seguridad.

Se pueden invertir miles de euros en los mejores equipos de seguridad de última generación para minimizar los riesgos todo lo posible, pero en este artículo vamos a centrarnos en el usuario final, ese sobre el que nunca puedes tener un control total, la variable impredecible, la capa 8 de nuestro sistema, y cuyas acciones pueden poner en grave peligro los activos de la empresa.

En esta ocasión hablaremos sobre los ataques mediante correos de phishing. No son nada nuevo, y existen diferentes campañas que se van adaptando al contexto temporal en el que se lanzan, ya sea falsificando comunicados de hacienda, avisos falsos de múltiples empresas de mensajería o comunicados de servicios como Netflix.

Phishing y teletrabajo concienciacion en ciberseguridadEn definitiva, no son más que correos maliciosos que suplantan una entidad real con el objetivo de conseguir que la víctima descargue un archivo, o pinche un enlace, abusando de su confianza en la entidad falsificada.

En estos momentos tenemos dos factores cuya combinación es peligrosa para la seguridad de la información de la empresa, que son: Virus a nivel mundial y empleados teletrabajando.

La pandemia causada por el COVID-19 copa las portadas de los informativos desde hace meses y cada día surgen datos de interés mundial. Los ciber delincuentes están aprovechando esto para realizar nuevas campañas de phishing con esta temática, donde se han visto correos suplantando administraciones públicas con falsa normativa de seguridad, información falsa sobre ERTEs, inspecciones falsas a las empresas para cumplir las normas higiénico-sanitarias, información sobre normas, horarios y fases de desescalada… en resumen, contenido llamativo que conseguirá que un gran número de usuarios abra el correo pensando que el remitente es fidedigno y descargue su contenido.

Si esto sucede, el atacante ya ha conseguido el acceso al equipo y las acciones por su parte pueden ser muy variadas, desde exfiltrar información de la víctima, cifrar sus archivos y pedir un rescate por ellos, o utilizar ese equipo infectado para realizar nuevos ataques.

En el otro lado tenemos a los empleados, que han sido forzados a teletrabajar. Donde nos encontramos a personal con pocos conocimientos de seguridad, que pasan toda la jornada laboral frente al PC, sin ningún tipo de supervisión o control directo por parte de otros compañeros, que han de conectarse a sistemas internos de la empresa desde su propia red y a menudo, desde sus equipos personales…

Ahora, un correo de phishing ya no es solo una amenaza para los datos del usuario, es una amenaza para toda la empresa.

Cada click de un usuario no concienciado al abrir un correo es un riego. Además, si el usuario comete el error de pensar que el buzón de correo de la empresa está 100% protegido contra este tipo de ataques será aun peor, pues actuará con menos precaución accediendo a todo lo que reciba. A este vector de entrada, le podemos sumar todos los correos que lleguen al correo personal del usuario y sean abiertos desde el mismo PC que se usa para trabajar. El riesgo aumenta exponencialmente.

Somos humanos, y queremos estar informados de la actualidad, por eso, ante un correo con información llamativa, nuestro primer impulso será acceder a él, porque si S0M0S C4P4C3S D3 L33R 3ST0, ¿Cómo vamos a poder distinguir una i mayúscula de ele en el nombre del remitente sin prestarle la suficiente atención para saber si se trata de un correo falso?

¿Cómo podemos minimizar este riesgo?

La respuesta es fácil, con formación y concienciación.

No podemos pretender que todos los empleados examinen las cabeceras de los correos que reciben antes de abrirlos, pero si podemos concienciarlos para que sospechen de todo (0 trust) y que levanten la mano y notifiquen cualquier cosa que les parezca sospechosa al departamento de seguridad.

Esto puede sobrecargar inicialmente al departamento que se encargue de verificar estos correos, pero con una formación periódica, ya sea mediante videos breves o correos con las claves para detectar estos envíos, el empleado identificará por si mismo los correos de phishing y los avisos se reducirán, del mismo modo que se reducirá el riesgo para la organización de que uno de estos ataques tenga éxito.