Todos hemos sido blanco de algún tipo de ataque de phishing. Desde mensajes falsos de una fuente aparentemente fiable que nos convence para hacer clic en un enlace malicioso o incluso intentos de suplantación de identidad, como aquella tan famosa en la que Mark Zuckerberg escribía en persona a los supuestos ganadores de un premio.
Los atacantes están continuamente innovando y encontrando nuevas formas de engañar a sus víctimas. Actualmente existen muchos tipos de phishing que no son tan obvios y que pueden llegar a engañar incluso al usuario más cauteloso. Como, por ejemplo, las estafas de COVID-19, que supuestamente provenían de un amigo que estaba atravesando una complicada situación económica o correos electrónicos que solicitaban el certificado de vacunación.
La buena noticia es que la mayoría de los intentos de phishing e ingeniería social pueden evitarse con una buena dosis de sentido común. Los expertos de CyberArk ofrecen unos sencillos pasos para hacer frente a estos correos fraudulentos:
1. Elige bien a tus amigos digitales. Al igual que en la vida real, este consejo es muy práctico en el mundo digital. Si recibes un mensaje de LinkedIn o una solicitud de amistad de Instagram de alguien que no conoces, no respondas, no lo aceptes ni hagas clic en ningún enlace que aparezca en el mensaje.
2. No hagas clic en hipervínculos y enlaces de una fuente no verificada. Y recuerda que, incluso los correos electrónicos enviados desde fuentes conocidas, pueden generar problemas: el malware, el ransomware y los virus pueden propagarse al escanear tu dispositivo en busca de otras direcciones de correo electrónico y luego reenviarse a esas direcciones en mensajes supuestamente “enviados” por ti.
3. ¿Urgente? No tanto. Muchos correos electrónicos y mensajes de phishing intentan crear una sensación de urgencia, lo que hace que el destinatario tema que su cuenta o información pueda estar en peligro. Por eso, si recibes un correo electrónico sospechoso, que parece ser de alguien que conoces, lo aconsejable es que te comuniques directamente con esa persona. Y si el correo electrónico proviene de una organización, pero parece fraudulento, ponte en contacto con ellos a través del servicio de atención al cliente para verificarlo.
4. Di NO a los cuestionarios de personalidad y piénsate dos veces publicar tanto en redes sociales. Ya sabemos que los cuestionarios son una forma divertida de matar el tiempo, pero también la mejor manera que tienen los atacantes de obtener tus datos personales. Al igual que ocurre con tus publicaciones en redes sociales: piénsatelo antes de publicar demasiado. Los ciberdelincuentes pueden utilizar toda esta información personal para aprovecharse de ti y, aunque no seas consciente de ello, puedes estar revelando datos sobre tus contraseñas.
5. Desactiva la ubicación siempre que sea posible. Los atacantes pueden utilizar la información de tu ubicación para crear mensajes de phishing. Por ello, es aconsejable que desactives los servicios de ubicación cuando no los estés utilizando para que a los ciberdelincuentes les resulte más complicado ver esa información.
6. Protege tu ordenador y tu teléfono móvil. US-CERT recomienda instalar software antivirus y firewalls en los dispositivos personales y asegurarse de que estén configurados para actualizaciones automáticas. También es esencial separar el uso profesional y personal que das a los dispositivos, sobre todo, si estás teletrabajando. Recuerda no usar el teléfono de empresa para navegar por Internet, comprar online, echar un vistazo a las redes sociales o consultar tu correo personal.
7. Recupera el control de la carpeta de correo no deseado. Aunque no todos los mensajes de la carpeta de spam son correos de phishing, muchos de ellos sí lo son. Dedica tiempo a limpiar la carpeta de correo no deseado (o para configurar filtros para mantener la basura lejos de tu bandeja de entrada), y echa un vistazo a esta lista de CISA sobre cómo reducir el correo basura.
8. Protege tus cuentas digitales con autenticación multifactor (MFA). Las contraseñas deben ser lo más largas y complejas posible, y nunca deben usarse en más de un lugar. Muchas cuentas digitales, como el correo electrónico, la banca online o las redes sociales ofrecen la posibilidad de habilitar MFA para agregar una capa adicional de protección al proceso de inicio de sesión.
Normalmente, MFA combina, al menos, dos de los siguientes procesos y la combinación de estos diferentes tipos de identificación puede ayudarte a garantizar que eres quien dices ser.
• Algo que sabes: una contraseña, un PIN o la respuesta a una pregunta de seguridad.
• Algo que tienes: un dispositivo móvil.
• Algo que eres: una huella digital o un reconocimiento facial.
Un estudio realizado por Google, la Universidad de Nueva York y la Universidad de California (San Diego) descubrió que el uso de MFA bloqueaba el 100% de los bots automatizados, el 99% de los ataques de phishing masivos y el 66% de los ataques dirigidos a las cuentas de Google de los usuarios.
