Con la vuelta al trabajo, los empleados son más susceptibles a caer en engaños de phishing debido a la rápida necesidad de ponerse al día con sus responsabilidades laborales a la vuelta de sus vacaciones. La educación tecnológica y el fomento de prácticas de seguridad cibernética son esenciales para proteger los sistemas empresariales y la información confidencial tanto de las empresas como de sus empleados.
El phishing, o suplantación de identidad, es un tipo de ciberataque en el que a través de comunicaciones falsificadas, el usuario es engañado con el objetivo de robarle sus credenciales y poder acceder a información confidencial. Se ha posicionado como el método de robo de información más empleado por los ciberdelincuentes. Según el Ministerio del Interior, en 2022 se produjeron un total de 375.506 ciberdelitos, un 72% más que los registrados en 2019.
Para llevar a cabo este fraude, el entorno laboral se ha convertido en uno de los preferidos por los ciberdelincuentes. Según fuentes externas, el 91% de las empresas corre riesgo de sufrir un ataque de phishing en 2023. A menudo utilizan la apariencia de correos electrónicos corporativos en sus comunicaciones para engañar a los empleados y obtener acceso a las plataformas, aplicaciones internas o al sistema informático de la compañía. Este tipo de correos pueden parecer provenir de compañeros de trabajo, departamentos internos o incluso de superiores, lo que aumenta la posibilidad de que los empleados caigan en el engaño.
Con la vuelta al trabajo después de las vacaciones, el phishing, que en el entorno laboral tiene como objetivo obtener información confidencial o sensible que puede comprometer a la empresa, se convierte en una de las técnicas más efectivas. Como consecuencia de la urgencia por ponerse al día y la acumulación de comunicaciones no revisadas durante la ausencia del trabajador, es más sencillo que estos caigan en el fraude y entren en enlaces maliciosos o proporcionen información confidencial sin la debida verificación.
Las empresas deben comprender que la seguridad cibernética es responsabilidad de todos, y un enfoque colaborativo es esencial para mantener los datos y la información seguros en esta era digital. Por eso, desde IMMUNE Technology Institute, consideramos que la lucha contra el phishing requiere una estrategia integral que abarque desde la educación hasta la tecnología avanzada.
Miguel Rego, director del área de Ciberseguridad en IMMUNE, teniendo en cuenta que el correo electrónico es una de las principales herramientas de trabajo en todas las empresas, ha identificado los puntos clave que pueden ayudar a proteger al usuario del phishing.
1. Revisión del contenido del correo: ante un remitente desconocido o un dominio que no coincide con la entidad que afirma representar, el usuario debe ejercer una revisión cautelosa. Si la comunicación parece inusual o poco convincente, es recomendable abstenerse de interactuar o hacer clic en enlaces adjuntos. Una medida muy simple puede prevenir muchas intrusiones no autorizadas.
2. Mensajes que generan sensación de urgencia: los ciberdelincuentes suelen recurrir a este tipo de mensajes para solicitar alguna acción de manera urgente. Alertas de seguridad o notificaciones de paquetes pendientes o envíos urgentes son algunos de los avisos que suelen emplear. Ante este tipo de comunicaciones, es recomendable comprobar la verificación del mensaje a través de canales oficiales, en lugar de tomar acciones rápidas que podrían comprometer la seguridad.
3. Protección de datos personales o bancarios: el usuario debe tener muy claro que nunca puede facilitar datos personales en páginas web a las que haya accedido a través de un enlace incluido en un email. En caso de tener que hacerlo, siempre va a ser preferible entrar a la página web tecleando su dirección en el navegador para garantizar así su legitimidad. Por lo general, las empresas o instituciones públicas no suelen solicitar información personal a través de enlaces facilitados por mensajes de texto o correos electrónicos.
4. Atención a los archivos adjuntos: en la mayoría de las ocasiones, estas comunicaciones suelen venir acompañadas de archivos adjuntos para que, al descargarlos, el ciberdelincuente pueda entrar en el equipo de la persona estafada. En caso de sospecha, siempre es preferible llamar al banco o empresa involucrados antes de descargar cualquier tipo de archivo que pueda contener malware o virus, previniendo así ataques a mayor escala.
5. Reconocimiento de las comunicaciones impersonales: estas comunicaciones carecen de la autenticidad y personalización que caracteriza a las interacciones legítimas entre entidades y usuarios. Se plantean mensajes de la manera más general posible para maximizar su impacto. En el contexto laboral, la identificación de comunicaciones impersonales cobra un significado aún mayor, pues los ciberdelincuentes pueden intentar hackear la estructura jerárquica de la compañía, enviando mensajes que parezcan provenir de departamentos internos con saludos genéricos, esperando que el empleado siga las instrucciones sin cuestionar al remitente que, aparentemente, es una persona de mando dentro de la empresa.
En conclusión, el phishing es una amenaza creciente en el entorno laboral, especialmente después de las vacaciones. La educación y la implementación de medidas de seguridad cibernética son fundamentales para proteger a las empresas y a sus empleados de este tipo de ataques. Es responsabilidad de todos mantenerse informados y alerta ante cualquier comunicación sospechosa, evitando caer en el engaño y protegiendo la información confidencial.
