En este segundo artículo sobre el Phishing quiero hablar de la relación que tiene con el e-commerce. Los mayores peligros a los que se enfrentan las compañías con venta online posiblemente sean, la filtración de datos y el secuestro de los mismos y en muchos casos la relación entre el Phishing y esos problemas es directa, ya que muchos de los ataques de ransomware y de robo de credenciales comienzan por un intento de Phishing satisfactorio, pero antes de entrar en materia voy a contar una experiencia personal.
Hace unos tres años decidí dar un giro a mi carrera e iniciarme en la informática de manera profesional, siempre me había llamado la atención y tenía ya algún conocimiento. Qué decir del phishing, ya había sobrevivido a 300 príncipes nigerianos, el fin de no sé cuántas redes sociales y algún mensaje de bancos en los que no tenía ni cuenta pidiéndome unos datos que ni siquiera existían.
Estaba sentado en el coche esperando a que bajara de casa la que entonces era mi pareja, era su cumpleaños y yo estaba esperando que ese día me llegara el regalo que le había comprado, en ese momento aparcado en doble fila, esperando, me llegó un mensaje de correos, la empresa que debía hacer la entrega, había un problema y se necesitaba hacer un pago de 1,38€ para que el paquete fuera entregado a tiempo debido a un problema de cuya naturaleza no me acuerdo.
Con la presión del momento y no queriendo ser pillado con las manos en la masa rellené como un rayo los datos y le di ok a todo lo que me dijeron. Cuando había aceptado todo y la tensión del momento había pasado una voz en mi cabeza me preguntó “¿Desde cuando correos te cobra por el envío del que se hace cargo otra empresa o a última hora?” pero ya le había dado a aceptar. Después de darle las gracias con sorna a la voz, que llegó evidentemente tarde al rescate, miré mi cuenta, 1.300 euros de cargo en una compra en una conocida marca de electrónica.
Phishing – la atención es primordial
Lo que quiero contar con mi ejemplo es que a veces incluso sabiendo que este tipo de estafas existen y cómo funcionan, los astros se alinean, para mal y caemos en una trampa que en cualquier otro momento no hubiera sido posible, en este caso el timing fue perfecto y debido a las prisas, muchos usuarios no leemos con atención o lo hacemos de manera diagonal hasta que no encontramos algo que nos resulta importante.
En mi caso fue que el regalo no iba a llegar ese día sino pagaba 1,38€, por lo tanto era perentorio hacer ese pago, no meditamos sobre lo que está ocurriendo y queremos hacer las cosas impulsados a veces por un exceso urgencia y esto nos puede llevar a errores graves, como el mío ese día, no leí con la debida atención, y por eso caí en una estafa.
Pero imaginemos que esto hubiera ocurrido con algo referente a la empresa, un mensaje urgiéndonos a llevar a cabo alguna acción, algo referente a una compra que debe hacerse inmediatamente o una solicitud de cualquier tipo. Tenemos que tomarnos el tiempo necesario para antes de contestar o ponernos en marcha leer con detenimiento todo lo que aparece en el mail. Si es o no un curso de actuación habitual, si el remitente es conocido o si es competencia del mismo lo que nos está pidiendo y un largo etcétera de cosas de las que debemos estar seguros antes de facilitar ningún tipo de dato o de entrar en cualquier link que nos sea enviado.
En muchos casos solo el hecho de leer con atención y no sobre reaccionar nos puede salvar de más de un problema. Más adelante en este artículo facilitaremos una lista de buenas prácticas para mitigar los riesgos de este tipo de mensajes.
Termino de contar la historia pues de ella saqué una valiosa lección e inspiración para mi carrera laboral.
Llamé de inmediato al banco para que cancelaran la compra, pero me dijeron que era imposible solo podía cancelar la tarjeta para evitar males mayores. Llamé a la empresa en la que se había hecho la compra y amablemente me indicaron que lo único que se podía hacer era denunciar en la policía lo antes posible y mantenerse a la espera. Eso es lo que hice, eso y prometerme que mi carrera en IT se iba a encaminar hacía la ciberseguridad, me llevará meses o años. Felizmente y dando ya por perdidos los 1300 euros, unos meses después me fueron ingresados de vuelta. Pero la convicción de hacia dónde iba ir mi carrera siguió en pie.
Es importante también el reaccionar rápidamente ante el hecho, en caso de que sea en el ámbito personal llevar a cabo las acciones pertinentes para arreglar el daño o en caso de no poder arreglarlo al menos mitigarlo de la mejor manera posible. En el caso de la empresa, si después de hacer algo nos entra cualquier duda o pensamos que hemos podido ser víctimas de un falso mensaje avisar con la mayor prontitud posible para que nuestro equipo de IT traté de hacer un control de daños y solucionar la situación. Es mejor avisar en caso de duda y que sea una falsa alarma, a no decir nada y que el daño sea real.
Suscríbete a nuestro newsletter.
Mantente informado con las mejores prácticas y estrategias para hacer comercio electrónico y crecer el negocio como una marca líder en tu industria.
¿Qué buscan quiénes hacen los ataques de Phishing?
Dicho esto en algunos casos las personas que realizan el ataque no buscan tan solo robar una tarjeta de crédito para hacer una compra o la cantidad de euros que puedan sustraer mientras nos engañan para “liberar” la cuenta de nuestro querido príncipe nigeriano. El phishing también se puede utilizar para el robo de credenciales, el ransomware y en este artículo queremos centrarnos en ellos, los que pueden llegar a ser un problema para el e-commerce y nuestras compañías.
Tanto el Spear phishing, como el Whaling y el fraude de CEO, de los cuales se habló en el artículo anterior, en caso de no ser identificados y de interactuar con ellos, pueden acabar con las credenciales de alguna persona con acceso a datos sensibles en manos de alguien que no debería tenerla. Según IBM el tiempo medio de detección de una brecha de datos son 277 días, 9 meses, en los casos de robo de credenciales o credenciales comprometidas estos tiempos aumentan a 327 días y este peligro es el más explotado, un 19% de los casos vienen del robo de credenciales como nos indica su en reporte de data breach de 2022.
Un 16% de los vectores iniciales de ataque vienen del phishing lo cual coloca a este peligro en un segundo puesto de riesgo para las empresas y el primero en costes atendiendo a los números del reporte. Esto se debe a varios factores entre ellos que la mayor parte de los ataques de ransomware se realizan a través del phishing y los rescates no son especialmente baratos.
Credenciales uno de los objetivos más jugosos
Pero también a través del phishing se pueden robar las credenciales a los trabajadores de una empresa, por lo tanto es muy probable que de esos robos de credenciales un porcentaje alto se deba a los ataques de spear phishing, de hecho según el punto octavo de este artículo el 65% de todos los ataques empiezan con el uso de spear phishing. Además de los costes directos que pueden producir estos ataques (como el pago de rescates en caso del ransomware) también tenemos que tener en cuenta los riesgos de que los datos de nuestros clientes, sus tarjetas, compras etcétera hayan sido comprometidos.
Cuando una compañía sufre una filtración de datos masiva, la confianza en la misma decrece haciendo que a mayores del gasto estimado de estas (cuatro millones de euros de media según IBM y que se espera la suma suba a cinco millones de media este año) la visión del público sobre nuestra empresa se vea dañada permanentemente y que muchos usuarios decidan dejar de comprar en nuestro e-commerce o acudir a nuestros servicios.
Una vez más podemos ver como los ataques se centran en la mayor vulnerabilidad de todo sistema informático, que es el propio usuario, eso nos hace difícil el asegurar al cien por cien nuestro entorno de trabajo y la seguridad del mismo, las personas pueden cometer errores y no todos los días el nivel de atención ni el estado mental es el mismo. Existen maneras de ayudar a los usuarios a no comprometer a la empresa.
Buenas Prácticas
La más importante es la concienciación y la formación, seguir ciertas pautas ayuda a estar más seguros. Veamos varias de ellas:
- Hay que ser crítico con los correos electrónicos y mensajes de texto: No confíar en correos electrónicos o mensajes de texto de remitentes desconocidos o sospechosos. No hacer click en enlaces o descargar archivos adjuntos sin antes verificar la legitimidad del remitente.
- No compartir información personal: No compartir información personal, como contraseñas o números de tarjetas de crédito, a través de correo electrónico o mensajes de texto.
- Utiliza la verificación de dos factores: Utilizar la verificación de dos factores para agregar una capa adicional de seguridad a las cuentas nos da una seguridad extra a la hora de que nuestras credenciales sean más seguras.
- Verificar la dirección de correo electrónico: Verificar la dirección de correo electrónico de los remitentes antes de hacer clic en enlaces o descargar archivos adjuntos. Asegurarse de que la dirección de correo electrónico sea legítima y que corresponda a la empresa o persona que dicen ser.
- No confiar en la autenticidad de las páginas web: No confiar en la autenticidad de las páginas web a las que se nos dirige a través de correo electrónico o mensajes de texto. Si hay dudas sobre la legitimidad de una página web, verificar la dirección URL o buscar la página en un motor de búsqueda ayuda a despejar las dudas.
- No responder a correos de phishing: No responder a correos de phishing ya que esto puede indicar al atacante que la dirección de correo es activa y válida.
- Entrenamiento regular de seguridad: Incluir entrenamiento regular de seguridad para todos los miembros de la compañía para asegurarte de que todos los empleados estén al tanto de las últimas técnicas y métodos utilizados para ataques de spear phishing o cualquier otro tipo de phishing.
- Informar de los intentos de phishing: Si se recibe un correo de phishing o sospechoso, informar de inmediato al departamento de IT o a los responsables de seguridad.
La responsabilidad de la integridad de la empresa depende de todos los que la conforman, por eso es importante enseñar a todos los trabajadores las prácticas más adecuadas para mantener seguras las credenciales y la compañía, detener estos ataques es una responsabilidad colectiva. Es recomendable dar seminarios sobre seguridad a todos los empleados al menos una vez al año, al igual que sería recomendable hacer campañas de phishing sobre nuestra propia empresa para auditar la preparación de los empleados sobre este aspecto.
Hay estudios que indican que para 2023 se perderán más de 30.000 millones de dólares solo en ataques de ransomware, la mayor parte de los secuestros de datos exitosos vienen de un ataque de phishing.
Como ya hemos visto también una parte de los robos de credenciales, que acaban en pérdidas, empiezan desde ataques de spear phishing. Por lo tanto, tener un entorno de trabajo concienciado en la seguridad ayuda a nuestra marca y nuestro ecommerce haciendo más complicadas las brechas de seguridad, evitando así los data breach y manteniendo la imágen de la empresa segura y confiable.