Las soluciones de seguridad para empresas están en constante mejora, lo que obliga a los ciberdelincuentes a invertir más tiempo y dinero para acceder a las redes corporativas; por lo que, cada vez más, dependen de la ingeniería social. Si explotan el factor humano y utilizan la información de contacto que ya está disponible (como la del personal de Recursos humanos y Relaciones públicas), los delincuentes pueden extraer credenciales de inicio de sesión de los empleados más despistados sin tener que preocuparse por las soluciones de ciberseguridad en continua mejora.
Por desgracia, no hay ningún remedio mágico para proteger a las empresas contra el phishing; el problema requiere medidas organizacionales y técnicas. Te contamos cómo poner en práctica esta protección.
Protege tu servidor de correo
Los navegadores y algunos clientes de correo electrónico cuentan con sus propios filtros de seguridad, pero los ciberdelincuentes tienen muchas técnicas para evadirlos. Algunos, por ejemplo, utilizan los servicios de marketing por correo electrónico.
Evitar que los correos electrónicos de phishing lleguen a las bandejas de entrada de los empleados es un punto de partida determinante. Para ello, utiliza una solución de seguridad a nivel de la puerta de enlace del correo como Kaspersky Security for Mail Server que no solo verifique los enlaces en los correos entrantes, sino que también detecte las amenazas en los archivos enviados.
Protege los servicios de Microsoft Office 365
Actualmente, en lugar de implementar sus propios servidores de correo, muchas empresas utilizan servicios en la nube, principalmente MS Office 365. Los datos de cuenta de Microsoft Office, que pueden conceder el acceso a los atacantes a servicios que podrían almacenar información confidencial y detalles de contacto, como OneDrive y SharePoint, es un objetivo frecuente y esperado de los ataques de phishing. Y, aunque un empleado sepa que debe revisar los mensajes minuciosamente, podría acabar haciendo clic en un enlace o reenviado un mensaje a los compañeros si tuviera prisa, por ejemplo.
Microsoft tiene sus propias tecnologías de seguridad imperfectas, que puedes (y debes) fortalecer con capas adicionales de protección. Por ejemplo, Kaspersky Security for Microsoft Office 365 evita la expansión de amenazas mediante los servicios de Office, los protege contra spam y phishing y elimina los archivos adjuntos maliciosos.
Forma a los empleados
Hoy en día, entre la gran variedad de trucos de los ciberdelincuentes se incluyen los enlaces maliciosos ocultos en los correos electrónicos, troyanos adjuntos disfrazados de documentos, mensajes de texto engañosos y llamadas telefónicas, entre otras cosas. Los mensajes de phishing pueden incluso provenir de un proveedor de hosting o una empresa afiliada si la cuenta de alguno de sus empleados se ha visto comprometida. Los empleados deben estar al tanto de estas estrategias y poder detectar los correos electrónicos sospechosos.
La formación en materia de sensibilización de ciberseguridad puede venir de la mano de tu propio departamento informático o de expertos externos. Además, las herramientas online como Kaspersky Automated Security Awareness Platform ayudan a los empleados a aprender en un formato conveniente y práctico.
Envía correos electrónicos de phishing de prueba
Probar a los empleados con correos electrónicos de phishing relevantes permite (u obliga a) que los empleados pongan su conocimiento en práctica y se preparen para incidentes reales. Ponerlos a prueba también destacará a las personas y áreas que necesiten mejorar.
Proporciona información de contacto de los expertos en correos electrónicos sospechosos
Después de la formación básica en ciberseguridad, los empleados podrán detectar la mayoría de los correos electrónicos de phishing mediante pistas visuales como una dirección desconocida en el remitente, un logotipo de empresa erróneo y errores tipográficos. Sin embargo, en algunos casos, determinar si un mensaje es seguro puede requerir ayuda de un experto. Incluye los datos del mejor contacto de tu empresa para evaluar mensajes sospechosos en la guía de incorporación y de manera destacada en el portal corporativo.
Protege las estaciones de trabajo
Incluso los empleados observadores y con más experiencia pueden cometer errores. Los enlaces de phishing pueden aparecer en el correo personal de un empleado o llegar mediante una aplicación de mensajería, canales que tus sistemas de seguridad no controlan. Por lo tanto, instalar una solución de seguridad en cada estación de trabajo conectada a Internet es de vital importancia. De esta forma, aunque un enlace de phishing llegue al objetivo y este haga clic, se bloqueará el redireccionamiento.
Protege los dispositivos móviles
Los empleados utilizan smartphones para visualizar correos electrónicos y documentos financieros o, incluso, chatear en las aplicaciones de mensajería. Los dispositivos móviles siempre han sido una amenaza para la seguridad corporativa y ahora mucho más debido al auge del teletrabajo. Para frustrar los ataques de phishing en los móviles, protege también estos dispositivos con Kaspersky Endpoint Security for Business, que protege tanto las estaciones de trabajo como los teléfonos móviles.
Ve un paso por delante de los delincuentes
Los ciberdelincuentes crean nuevas estrategias constantemente, por lo que hasta el profesional con más destreza podría entregar las claves de su correo electrónico u otra cuenta sin darse cuenta. Con algunos requisitos de sentido común, puedes garantizar que los delincuentes obtengan la menor cantidad de información confidencial posible.
Activa la autentificación en dos pasos
Habilita la autentificación en dos pasos en todos los servicios corporativos. Con la 2FA activada, incluso aunque los atacantes descubran las credenciales para una cuenta corporativa o una contraseña de correo electrónico, no podrán acceder.
Solicita contraseñas únicas
Indica a los empleados que utilicen contraseñas únicas para cada servicio o dispositivo de trabajo. De esta forma, aunque los ciberdelincuentes se hagan con la contraseña, el resto de los recursos no estarán en riesgo.
Sigue el principio del mínimo privilegio
Si los empleados tienen derechos de acceso solo a los servidores, al almacenamiento en la nube y a otros bienes de valor que verdaderamente necesitan, los ciberdelincuentes no podrán causar mucho daño, aunque obtienen el control de una cuenta corporativa.
Plan de acción
Al seguir estos sencillos consejos, puedes proteger a tus empleados y, por tanto, a tu empresa, de las amenazas del phishing. En resumen:
- Protege tu servidor de correo.
- Protege tus servicios de Microsoft Office.
- Forma a los empleados.
- Simula ataques de phishing para reforzar la formación.
- Proporciona al personal un contacto que pueda ayudarles a verificar correos electrónicos sospechosos.
- Protege las estaciones de trabajo.
- Protege los dispositivos móviles.
- Activa la autentificación en dos pasos siempre que sea posible.
- Utiliza soluciones de seguridad de confianza.