Prevenir es fundamental mientras la temporada de Phishing avanza

Por Roberto Ricossa, Vicepresidente y Director General de F5 Networks Latinoamérica

 Aunque ocurren todo el año, los incidentes por fraude aumentan hasta un 50 por ciento entre octubre y enero. La época no es casual: los usuarios están inmersos en actividades de fin de año propios de estas fechas; el número de compradores en línea buscando las mejores ofertas se incrementa de manera exponencial y el personal clave de las empresas sale de vacaciones.

De esto nos alerta el informe Fraude y Phishing 2018, realizado por F5 Labs en colaboración con Webroot, para que no le pase a usted ni a su empresa en una época, como dije antes, especialmente sensible en la que phishers y estafadores aprovechan la distracción de las personas para realizar fraudes cibernéticos.

A nivel global, las compañías más imitadas con phishers son las de tecnología, entre las que están  las grandes como Microsoft, Google o Facebook, por nombrar algunas.  El sector financiero también es un blanco constante de ataque, dentro del cual los bancos representan el 55 por ciento de esos objetivos.

De acuerdo a una encuesta de 2018 de PwC y la CACE, dentro de la lista de víctimas de Phishing en América Latina, Argentina ocupa el tercer lugar con el 16,4%. Sin embargo, en 2017/2018, creció en 52% la facturación del comercio electrónico en Argentina,  teniendo un 90% de los adultos argentinos conectados que ya compró online alguna vez, representando 18.3 millones de personas.

Además, el 92% del total de las ventas en fechas especiales como CyberMonday se realizó a través de tarjeta de crédito.

Conciencia y cultura: el mejor contraataque

 En F5 hemos comprobado que la mejor línea de defensa es generar una verdadera conciencia y cultura de prevención frente a este problema. La capacitación enfocada en aumentar ambas puede tener un efecto de mejora considerable y directo en la seguridad. Por ejemplo, las empresas que realizan campañas de capacitación, registran entre un 13 y un 33 por ciento de reducción en el índice de clics de phishing entre sus empleados, según las cifras que arrojan las pruebas de Webroot.

Dado que son estacionales, se espera que los ataques de Phishing continúen. Sin embargo, a continuación les dejo algunas recomendaciones que se pueden aplicar como parte de las defensas tecnológicas posibles:

  • Clasificación de correo electrónico. Etiquetar claramente todo el correo de fuentes externas para evitar el robo de identidad. Un mensaje simple, especialmente formateado, puede alertar a los usuarios para que estén en guardia.
  • Software antivirus (AV). El software AV es una herramienta crucial y, en la mayoría de los casos, detendrá el intento de instalación de malware. Es recomendable su actualización diaria.
  • Filtrado web. Esta solución bloquea el acceso a los sitios de phishing. Esto no solo evitará una violación a la organización (siempre que el proveedor de filtros web conozca el sitio de phishing), sino que también ofrece una valiosa oportunidad de enseñanza al enviar un mensaje de error al usuario.
  • Descifrado e inspección de tráfico. Se recomienda la interrogación continua y granular de todos los flujos de tráfico para identificar rápidamente y reaccionar a los riesgos.
  • Inicio de sesión único (SSO por sus siglas en inglés). Cuantas menos credenciales gestionen los usuarios, menos probabilidades tienen de compartirlas en múltiples aplicaciones, crear contraseñas débiles y almacenarlas de forma insegura.
  • Autenticación multifactor. Esta deberá ser necesaria para todos los empleados y todos los escenarios de acceso, incluido el correo electrónico. Incluso si un empleado no obtiene phishing, se corre el riesgo de que los compromisos de servicio de terceros y las credenciales robadas se utilicen en un ataque de relleno de credenciales.
  • Reporte de intentos de phishing. Proporcionar un medio para que los empleados denuncien fácilmente el supuesto phishing. Algunos clientes de correo ahora tienen un botón de alerta de phishing incorporado para notificar a TI sobre actividades sospechosas.
  • Cambio de las direcciones de correo electrónico. Se debe considerar cambiar las de los empleados si están recibiendo una cantidad inusualmente alta de ataques de phishing de manera continua.
  • Utilización de CAPTCHAs. Uso de tecnologías de desafío-respuesta como CAPTCHA para distinguir a los humanos de los bots. Sin embargo, los usuarios pueden encontrarlos molestos, por lo que se puede utilizar en los casos en los que es muy probable que un script provenga de un bot.
  • Revisiones de control de acceso. Revisar los derechos de acceso de los empleados regularmente, especialmente aquellos con acceso a sistemas críticos. Estos empleados también deben ser priorizados para la formación de phishing.
  • Estar atento a los nombres de dominio recién registrados. Los sitios de phishing son a menudo dominios recién registrados. Cuando F5 revisó la lista de malware activo y dominios de phishing recopilados por Webroot en septiembre de este año, sólo el 62 por ciento seguía activo una semana después.
  • Implementación de detección de fraudes web. Implementar una solución de fraude web que detecte clientes infectados con malware. Esto evita que los delincuentes cibernéticos inicien sesión en los sistemas de una empresa, permitiendo que se realicen transacciones fraudulentas.

A medida que las organizaciones mejoran la seguridad de sus aplicaciones web, para los estafadores se vuelve más fácil engañar a las personas que encontrar alguna vulnerabilidad en dichas aplicaciones. Por lo mismo, un marco de control integral que incluya personas, procesos y tecnología es un requisito fundamental para la reducir los riesgos de que un ataque se convierta en un incidente importante.