Vasu Jakkal, Vicepresidenta de Seguridad de Microsoft, subraya la importancia de este concepto al afirmar que “no podemos tener ninguna transformación tecnológica sin pensar primero en la seguridad. Como líderes empresariales, es extremadamente importante entender lo que significa la seguridad en este nuevo mundo”. Sin esta base sólida, la adopción de nuevas tecnologías se convierte en un riesgo para empresas, gobiernos y personas.
Uno de los mayores desafíos en ciberseguridad hoy es el phishing, una táctica utilizada por los ciberdelincuentes para robar información confidencial, haciéndose pasar por entidades legítimas. Los ataques de phishing han evolucionado, haciéndose más sofisticados gracias al uso de inteligencia artificial (IA). De acuerdo con Jakkal, la IA permite a los atacantes “hacer cosas como el reconocimiento, encontrar información sobre objetivos, crear malware y lanzar ataques de phishing. Veremos más cracking de contraseñas y deepfakes en el futuro cercano”.
¿Qué tipos de phishing existen?
- Inyección de contenido: Este tipo de ataque inyecta un sitio web familiar, como una página de inicio de sesión de correo electrónico o un portal de banca online, con intenciones malintencionadas. Puede incluir un enlace, un formulario o una ventana emergente que dirija a un sitio web secundario, donde se pide introducir información confidencial.
- Manipulación de enlaces: A veces, una estafa de phishing adopta la forma de un enlace malicioso que parece provenir de una fuente de confianza, como grandes empresas o marcas famosas. Si el usuario hace clic en el enlace, es dirigido a un sitio web falso donde se le solicita información de la cuenta.
- Correo electrónico: Este es el método más común de phishing. Los correos electrónicos de phishing pueden llegar a las bandejas de entrada personales o profesionales, y pueden incluir instrucciones para seguir un enlace o abrir un archivo adjunto malicioso.
- “Man-in-the-middle”: En este tipo de ataque, un ciberdelincuente engaña a dos partes para que envíen información mutua. El estafador puede alterar los datos que se envían o falsificar solicitudes entre las partes involucradas.
- Spear phishing: Una versión más avanzada del phishing que se dirige a personas específicas, en lugar de objetivos al azar, utilizando información personalizada para hacer el ataque más creíble.
10 claves para evitar el phishing y proteger tu información
Estas son las principales claves que Microsoft recomienda como parte de las prácticas de ciberseguridad inteligentes:
1. Identifica las amenazas internas y externas: Es fundamental que las empresas reconozcan que las amenazas no solo provienen del exterior, sino también de dentro de la organización. Según Luisa Esguerra, Gerente de Soluciones de Seguridad en Microsoft SSA, los empleados son a menudo “el eslabón más débil en la cadena de seguridad”. Por eso, es esencial capacitarlos en la identificación de ataques de phishing y en cómo protegerse de ellos.
2. Capacita a tus empleados regularmente: El phishing se basa en el error humano. Para reducir el riesgo, las organizaciones deben proporcionar capacitación continua a sus empleados. Esguerra señala que “si un empleado no está capacitado, es más probable que caiga en la trampa de un correo malicioso o de un mensaje fraudulento”. La capacitación debe incluir la identificación de señales de alerta en los correos electrónicos y prácticas de seguridad.
3. Implementa la autenticación multifactor: Esguerra menciona que “hoy en día, la autenticación multifactor es una de las barreras más efectivas contra el robo de identidades y acceso no autorizado. Esta tecnología exige que los usuarios confirmen su identidad utilizando múltiples métodos, lo que dificulta el acceso de los atacantes”.
4. Elimina las contraseñas débiles: Según Vasu Jakkal, “los hackers no se cuelan; inician sesión”. Es decir, las contraseñas débiles son una de las principales vías de acceso para los atacantes. Por ello, se recomienda adoptar soluciones como autenticadores que eliminan la necesidad de contraseñas y utilizan métodos más seguros, como la biometría.
5. Mantén actualizados los sistemas y navegadores: La falta de actualizaciones es una puerta abierta para los ataques de phishing. Esguerra resalta la importancia de mantener los sistemas y navegadores al día: “las actualizaciones incluyen parches de seguridad vitales que corrigen vulnerabilidades conocidas, lo que reduce la superficie de ataque”.
6. Analiza correos electrónicos sospechosos: Revisar cuidadosamente cada correo antes de abrir archivos adjuntos o hacer clic en enlaces es esencial. Las señales de phishing incluyen direcciones de remitentes incorrectas, saludos genéricos como “Estimado cliente” y mensajes que crean un sentido de urgencia. Esguerra recalca que “la prisa es el aliado de los cibercriminales; siempre hay que tomarse el tiempo para verificar”.
7. Habilita filtros de phishing y spam: El uso de filtros avanzados para detectar correos maliciosos y bloquearlos antes de que lleguen a los empleados es una medida crucial. “Prevenir que los correos fraudulentos lleguen al buzón de los empleados es una de las primeras líneas de defensa contra los ataques de phishing”, indica Esguerra.
8. Protege dispositivos móviles: El phishing no se limita solo al correo electrónico. Los ataques a través de mensajes de texto o aplicaciones de mensajería son cada vez más comunes. Esguerra enfatiza la importancia de proteger los dispositivos móviles mediante el uso de bloqueos biométricos y la restricción de aplicaciones no confiables.
9. Monitoriza continuamente tu entorno digital: La vigilancia constante es una clave para prevenir el phishing y otros ciberataques. Según Jakkal, el monitoreo en tiempo real es esencial para identificar comportamientos sospechosos antes de que causen daño: “con el volumen masivo de datos que circula hoy en día, los sistemas tradicionales no son suficientes para analizar y responder a los ataques de manera efectiva”.
10. Evalúa la resiliencia de tu empresa: Las empresas deben estar preparadas para responder rápidamente ante incidentes de ciberseguridad. Esguerra menciona que “si una compañía no está preparada para enfrentar un incidente de ciberseguridad, las consecuencias pueden ser devastadoras”. Es vital realizar auditorías de seguridad periódicas y tener un plan de contingencia en marcha.