¿Cómo evitar el phishing en tu empresa?

El 40 % de empresas españolas sufrió algún tipo de ciberataque como el phishing durante la pandemia, un mal que se incrementó en parte por la llegada del teletrabajo y que en Europa se disparó un 300 %, según informa Deusto Formación. Aunque la cifra de España es alarmante, esta está incluso por debajo de países como Estados Unidos (58 %) o Francia, (60 %), por lo que estamos ante un serio problema mundial.

El Instituto Español de Estudios Estratégicos (IEEE) define ciberataque como "actos que los delincuentes informáticos llevan a cabo como parte de sus actividades delictivas virtuales". Lo hacen corrompiendo los datos privados de empresas, la mayoría a través de un software dañino ('ransomware') capaz de tomar el control del ordenador, monitorear las acciones del mismo y enviar datos confidenciales al atacante. Algunas de las afectadas en España han sido SegurCaixa Adeslas, Mapfre, Adif y el Servicio de Empleo (SEPE).

El modo de operar de estos atacantes por phishing es generalmente haciéndose pasar por algún empleado o servicio aparentemente de confianza por medio de un email o SMS, donde vienen uno o varios enlaces que solicitan información confidencial al usuario, que pueden ir desde datos personales o financieros, hasta credenciales o cuentas en redes sociales.

Estos ciberataques se pueden prevenir o detectar. Por eso son importantes las consultorías en ciberseguridad.

Consejos para evitar el phishing de tu empresa

• El principal consejo que recomiendan los sitios expertos en seguridad informática es aprender a reconocer los correos electrónicos maliciosos. Los empleados deben estar formados y alerta ante este tipo de correos, para que ante cualquier sospecha lo reporten a los servicios de informática de la empresa. Los emails principalmente sospechosos son aquellos que envían enlaces u ofrecen regalos a cambio de información.

• Como ya se ha mencionado, pueden hacerse pasar por entidades o usuarios conocidos, lo que se denomina como 'email spoofing'. Por ejemplo, sería muy extraño que una entidad bancaria se comunique por email para pedir información. Ante esto, es importante no pulsar ningún enlace (si es que ya hemos abierto el email) y llamar al banco o empresa suplantada para confirmarlo. También es sospechoso que estos correos estén escritos en idiomas que no se reciben habitualmente o estén mal escritos.

• Según avisa Interactiva Digital, portal especializado en marketing digital, es importante evitar en la medida de lo posible compartir datos personales y confidenciales por WhatsApp o cualquier servicio de mensajería. También recuerdan que toda web a la que accedamos ha de contar con el sistema 'https' (siglas de Hypertext Transport Protocol Secure), que antecede al dominio URL y que va precedido de un candado. Si queremos verificar la web del email sospechoso de phishing, lo mejor es entrar como lo haríamos habitualmente, es decir, vía buscador o tecleando directamente la URL, antes de pinchar cualquier enlace vía email.

• Otra gran puerta de acceso al equipo son los archivos adjuntos, los cuales no se deben descargar para evitar phishing.

• La protección de los equipos informáticos es primordial. Para estar lo más seguros posibles ante ataques, hay que mantener actualizados los sistemas operativos y disponer de un buen antivirus.

• Otros portales también recomiendan instalar un cortafuegos (firewall) que reduzca la probabilidad de acceder a una web maliciosa. Asimismo, los sistemas antispam añadirán seguridad a los emails para que, si son sospechosos de phishing, vayan directamente al buzón de correo no deseado.

Según el Consorcio Anual de Certificación de Seguridad de Sistemas de Información (ISC), España tiene actualmente 122.000 profesionales en el sector de la seguridad informática, pero necesita 29.000 personas más para cubrir la demanda que requiere enfrentarse de forma integral a ataques cibernéticos como el phishing.