Con el auge del teletrabajo en España la ciberdelincuencia también ha crecido. Así por ejemplo los ataques de ransomware han crecido un 160% en el país según los datos de Check Point. Un tipo de amenaza que usada junto al phishing pueden hacer que las empresas colapsen de un día para otro.
Los ciberdelincuentes tienen un objetivo claro: los trabajadores. El impulso de la migración hacia entornos digitales en remoto ha hecho que el hueco para hacer frente a las amenazas sea doble. Por un lado está la parte técnica con las medidas de seguridad necesarias, y por otro el eslabón más débil de la misma, la propia persona.
Es el trabajador el que ha de tener cierto conocimiento para no caer en las trampas de los delincuentes online quienes buscan acceso a la red de la empresa a través de ellos, es por ello por lo que el auge del phishing en el entorno laboral se ha disparado.
"Los ataques de phishing han crecido de forma meteórica durante el último año, debido a que los atacantes no dejan de refinar sus tácticas y reutilizan las más exitosas", explican los responsables de seguridad de Sophos Iberia.
Las mayores amenazas
Gran parte del éxito de un ataque de phishing está en ser creíble. "Son cada vez más sofisticados, ya que incluyen menos faltas de ortografía, combinación de idiomas u otras señales que ayudaban a sospechar de la legitimidad del mensaje", indican desde la empresa.
Tanto es así que los expertos en ciberseguridad indican que los motivos por los que los trabajadores pican en este tipo de estafas no son necesariamente de emergencia o prioritarios, sino situaciones mundanas que no hacen sospechar. "Los cebos eran cosas cotidianas que sonaban lo suficientemente probables como para que la víctima pinche en el enlace", expone Ricardo Maté, director general de Sophos Iberia.
Es por ello, que desde Sophos han elaborado un rankin con las 10 amenazas de phishing en las que más han picado los trabajadores en remoto durante el 2020 para alertar a los demás y escarmentar en cabeza ajena.
- Código de conducta. El empleado recibe una carta de recursos humanos que expone los nuevos códigos de conducta de la compañía. "Dado que la mayoría del personal sabe que es un contenido de lectura obligatoria, es la estafa en la que más caen los empleados", detalla Sophos.
- Resumen del cierre fiscal retrasado. En este caso se notifica al personal que su documentación fiscal va a llegar con retraso y facilita un enlace en el que conocer de cuánto tiempo se trata. Al hacer referencia a una documentación importante son muchos los que caen.
- Mantenimiento programado del servidor. El teletrabajo ha cambiado la conducta e, igual que solemos hacer caso a los cortes de luz o agua, la interrupción del servicio en el que se trabaja es cada vez más relevante.
- Una nueva tarea. Esta amenaza se trata de un phishing semidirigido ya que el administrador simula utilizar el programa interno que utilice la empresa para que no sea tan obvia la amenaza. "Los cibercriminales manejan la mayoría de las herramientas empresariales y pueden utilizarlas en tu contra", advierten.
- Prueba del sistema de correo electrónico. Alegando supuesto fallo en el correo electrónico, solo requiere de un clic rápido en un email para ayudar a un compañero. "Las probabilidades de que al menos alguien pinche en el enlace son altas".
- Actualización de la política de vacaciones. La crisis del coronavirus ha obligado a muchas empresas a cambiar sus políticas de vacaciones. Esta información es de alto interés para toda la plantilla por lo que también es un riesgo importante.
- ¿Te has dejado las luces encendidas? Este correo electrónico está más pensado para aquellos empleados que van a la oficina, aunque sea de forma puntual. El ciberdelincuente se hace pasar por el administrador del edificio e informa de que uno de los coches de los trabajadores se ha quedado con las luces encendidas. No se detalla cuál es para forzar que se pinche en el link.
- Fallo en la entrega de un paquete. Este es un clásico, suele usarse a mayor escala con Correos pero es altamente efectivo dado el aumento de las compras online. Precisamente porque son las tiendas las que suelen elegir la mensajería, el usuario no sabe quién le entregará su compra.
- Documentación segura. "Este truco es ampliamente utilizado en las estafas de phishing", advierten. Se escuda en que recursos humanos envió un documento seguro con una razón creíble para quien lo recibe. El mensaje busca convencer al usuario para introducir su contraseña en un lugar donde habitualmente no lo haría.
- Mensaje en redes sociales. La interacción simulada en redes sociales es un buen gancho, especialmente en LinkedIn, ya que en muchos trabajos es una herramienta más.
Cómo evitarlo
Ante la escalada de las amenazas y riesgos es primordial que los trabajadores sean capaces de identificar este tipo de amenazas y sepan actuar en consecuencia.
Desde el Instituto Nacional de Ciberseguridad de España (INCIBE) tienen marcadas una serie de recomendaciones para blindar a las empresas y proteger así a ti y a la compañía. En concreto, la institución propone una serie de preguntas que hacerse cuando se recibe el mail.
Sobre el remitente: ¿Le conoce realmente? Si es así, ¿es realmente su dirección de correo?, es decir, ¿está correctamente escrito tanto su nombre (antes de la @), como el dominio (después de la @)? Si no es así, se debe desconfiar siempre.
En el cuerpo del correo por su parte hay que fijarse en el pie de firma, que no contenga cambios de aspecto al que se recibe habitualmente, con lo que lo idóneo es contrastarlo con mensajes anteriores. "Si albergas la más mínima duda, contrástalo con otro mensaje o llámale por teléfono", recomienda INCIBE.
Más allá del cuerpo, lo más sospechoso en este tipo de correos fraudulentos es que el cuerpo contenga faltas de ortografía. Sospeche si se utiliza un vocabulario poco corriente, faltas gramaticales o giros más propios de otros países. Por último, las llamadas a la urgencia o a la ejecución de algún tipo de acciones inmediatas siempre deberán poner en alerta de que se trata de una estafa.
En el caso de los archivos adjuntos sólo se debe confiar en lo que conozcamos al 100%. "Desconfía de nombres genéricos tipo 'factura', 'recibo' o similares. Revise tanto el aspecto como la extensión del fichero". Si espera un archivo, asegúrese de que es del mismo tipo.
Hay que tener especial cuidado si el que espera es ejecutable. Este tipo de archivos también pueden ocultar scripts o instalaciones de código malicioso. Existen muchas extensiones de este tipo de archivos, no solo '.exe', por ejemplo "son muy peligrosos los archivos JavaScript, aquellos con extensión '.js'", advierten desde el Instituto de ciberseguridad.