Con el paso de los años, la tecnología se ha ido imponiendo en todos los ámbitos. Los avances tecnológicos también han permitido a los ciberdelincuentes descubrir formas innovadoras de robar información.
Por lo general, las grandes empresas con miles de empleados son el objetivo. Sin embargo, esto no exime a las empresas más pequeñas de la línea de fuego. La falta de medidas de ciberseguridad adecuadas facilita que los phishers encuentren el punto más débil, normalmente un empleado nuevo.
Se ha registrado que uno de cada cuatro empleados admite haber hecho clic en los enlaces adjuntos a los correos electrónicos de phishing.
Por lo tanto, las organizaciones deben idear y aplicar estrategias para prevenir los ataques de phishing. También se requiere una formación exhaustiva de los empleados y su concienciación sobre los ciberdelitos. Este artículo pretende familiarizarle con las estafas de phishing a empleados, sus tipos y las formas de atajarlas.
Entender el phishing
El phishing es un tipo de ciberataque en el que los estafadores engañan a la gente para que facilite información vital a través de correos electrónicos y enlaces falsos. La información varía mucho en función del objetivo del phisher y suele ser de carácter sensible.
La información suele contener datos de acceso, información sobre cuentas, contraseñas y credenciales bancarias, etc. Un ataque de phishing exitoso es capaz de causar pérdidas a gran escala para una empresa. No sólo viola información sensible, sino que también puede difamar a la empresa utilizando su información confidencial.
4 ataques de phishing comunes dirigidos a nuevos empleados
La mayoría de los ataques de phishing dirigidos a empleados se basan en mensajes personalizados. El contenido del mensaje se formatea de manera que pueda parecer cercano al usuario, para evitar sospechas.
Con el tiempo, los atacantes han modificado los hábitos tradicionales de phishing. Por lo tanto, es obligatorio actualizar los conocimientos de los empleados sobre los tipos de ataques de phishing. Les ayudará a reconocer un ataque con prontitud. A continuación se indican algunos ataques de phishing comunes dirigidos a empleados.
1. Correos electrónicos de phishing de empleados
Es el ataque de phishing más común y la forma más cómoda de estafar a los nuevos empleados. Este tipo de ataques se propagan a través de correos electrónicos. El atacante crea un correo electrónico haciéndose pasar por la empresa matriz del empleado con la intención de robar información sensible.
La IA ha influido drásticamente en estos ataques de phishing al ayudar a los atacantes a generar correos electrónicos de phishing de alta calidad sin errores identificables.
2. Spear Phishing
El spear phishing es una forma muy selectiva de ataque de phishing. Tienen un objetivo específico dirigido a ese empleado. Tras recopilar información sobre el usuario, se elabora y envía un correo electrónico personalizado. Este correo electrónico se hace pasar por una fuente legítima que la víctima reconoce al instante.
En el spear phishing, el correo electrónico malicioso suele empezar con el nombre del destinatario en lugar de un saludo general. El atacante suele añadir los datos laborales o de la cuenta del empleado y le pide que inicie sesión en ella para actuar.
3. La caza de ballenas
La caza de ballenas se produce del mismo modo que el phishing. En este caso, los atacantes se dirigen a trabajadores de alto perfil, como ejecutivos de la C-suite. Al igual que otros ataques de phishing, también utiliza un correo electrónico malicioso o un mensaje que contenga cierta sensación de urgencia.
Consiste en suplantar la identidad de estos altos ejecutivos, normalmente instando a las víctimas a abrir un archivo adjunto vinculado a un correo electrónico malicioso o a compartir datos confidenciales. Una vez recopilada la información del objetivo, puede utilizarse para explotar los datos de la empresa.
4. Ataques de pesca con caña
Se trata de un tipo de ataque de phishing relativamente nuevo. El phishing de pescador utiliza las redes sociales o un sitio web para propagar malware. Se persuade a los empleados para que abran una URL específica o un tuit. El sitio web puede pedir a los nuevos empleados que introduzcan los datos de acceso para realizar la función deseada, lo que da lugar a una violación de datos.
Además, en este tipo, los phishers también utilizan los datos publicados por los empleados en sus cuentas de redes sociales para crear ataques muy selectivos.
¿Por qué los recién contratados son blancos fáciles?
He aquí varias razones que explican por qué los phishers encuentran fácil objetivo a los nuevos empleados.
Falta de familiaridad con los protocolos de la empresa
Normalmente, la incorporación de nuevos empleados implica asegurarse de que se familiarizan con las políticas de la empresa y las mejores prácticas de seguridad.
También deben saber qué tipo de información de la empresa es 100% confidencial y no debe revelarse bajo ninguna circunstancia. A veces, los nuevos empleados también necesitan ayuda para reconocer las direcciones de correo electrónico auténticas y falsas de la empresa.
Conocimiento limitado de las mejores prácticas de ciberseguridad
Los empleados nuevos suelen necesitar más conocimientos sobre las ciberamenazas. Desconocen las vulnerabilidades y los cabos sueltos, lo que puede hacer que sean fácilmente estafados. Aunque conozcan los ataques de phishing, desconocerían las posibles soluciones y estrategias de prevención.
Mayor disposición a demostrar su valía
Los nuevos empleados tienen una gran pasión por demostrar su valía en su nuevo lugar de trabajo. Actúan con rapidez ante las instrucciones y siguen ciegamente las indicaciones sin verificarlas. Intentan mantenerse activos y responder con eficacia a todos los correos electrónicos enviados por los responsables de la empresa. Los phishers aprovechan esta sensación de urgencia para atraerlos a los ataques de phishing.
Cómo fallan las organizaciones en la ciberseguridad de sus empleados
La ineficacia de las organizaciones también desempeña un papel importante en la estafa a sus empleados.
Programas de formación insuficientes
La formación y concienciación en ciberseguridad debe proporcionarse a los empleados al inicio de su trabajo. La organización debe organizar estas sesiones de formación interna. Deben concienciar a toda la plantilla sobre las amenazas potenciales y sus soluciones. Crear una cultura de agradecimiento mediante recompensas y reconocimientos a los empleados, como premios personalizables o placas de reconocimiento a medida, puede ayudar a motivar a los empleados para que participen activamente en la formación sobre ciberseguridad y se mantengan alerta ante posibles amenazas.
Dependencia de la comunicación por correo electrónico
El correo electrónico ha sido la principal fuente de comunicación entre los empleados durante años. Dado que el correo electrónico es también el mayor objetivo de los phishers, las empresas pueden plantearse cambiar a plataformas de comunicación en equipo personalizadas como Discord, Slack o Microsoft Teams para la comunicación diaria entre empleados. Mientras que los correos electrónicos pueden reservarse para escenarios específicos y comunicaciones con clientes.
Falta de seguridad del correo electrónico
Las organizaciones suelen pasar por alto las mejores prácticas de seguridad del correo electrónico, como la autenticación con SPF, DKIMy DMARC. Esto hace que sus dominios sean vulnerables a ataques de suplantación de identidad, phishing y spoofing. Esto también facilita el envío de correos electrónicos falsos a los nuevos empleados desde dominios falsos de la empresa.
Falta de cumplimiento de la normativa
No basta con configurar los protocolos de autenticación del correo electrónico. A menos que las organizaciones apliquen sus políticas DMARC, sus dominios siguen siendo vulnerables a las amenazas transmitidas por correo electrónico.
Para pasar de forma segura de una política de no acción a una política de DMARC, regístrese con PowerDMARC.
Importancia de la sensibilización y la formación de los empleados
Los cursos de sensibilización para empleados son algo más que una mera formalidad. La formación de PowerDMARC de PowerDMARC han ayudado a miles de candidatos, incluidos nuestros propios empleados, a mantenerse alerta ante las amenazas del correo electrónico.
Además, los nuevos empleados pueden utilizar algunos de los siguientes consejos y estrategias para evitar los ataques de phishing.
- Manténgase informado sobre los ataques de phishing, asista a sesiones de formación en seguridad y conozca las últimas tendencias en ciberseguridad, como la IA y informática cuántica.
- Vigile la legitimidad de las cuentas de correo electrónico y los enlaces adjuntos. Evite los correos electrónicos que utilicen un sentido de urgencia o soliciten una acción urgente.
- Mantenga todo el software y las herramientas de seguridad actualizados y libres de virus: actualice los sistemas con software antivirus, antimalware y cortafuegos.
- Mueva el cursor sobre el enlace adjunto y lea atentamente el contexto para evitar correos sospechosos. Si sospechas de la autenticidad del correo, ponte en contacto con el remitente y confírmalo con él a través de cualquier otra plataforma.
- Proteja sus dominios de correo electrónico mediante protocolos avanzados de autenticación de correo electrónico como SPF DMARCy DKIM.
Resumiendo
Para toda empresa, los empleados son una fuente esencial de defensa contra las filtraciones de datos. Sin embargo, los correos electrónicos maliciosos siguen llegando a las bandejas de entrada de los empleados incluso después de aplicar diversos protocolos de seguridad.
Por lo tanto, lo único que puede evitar que las organizaciones sufran ataques es establecer medidas preventivas y elegir a los proveedores de servicios de seguridad adecuados. PowerDMARC ha ayudado a organizaciones de todos los tamaños a alinear sus necesidades de seguridad de dominio y lograr el cumplimiento sin implicaciones negativas en la entregabilidad del correo electrónico. Para mejorar la seguridad de su dominio, puede ponerse en contacto con nosotros hoy mismo.
- ¿Cuánto tardan en propagarse los registros SPF y DMARC? - 12 de febrero de 2025
- Cómo las herramientas de pentest automatizadas revolucionan el correo electrónico y la ciberseguridad - 3 de febrero de 2025
- Caso práctico de MSP: Hubelia simplificó la gestión de la seguridad del dominio del cliente con PowerDMARC - 31 de enero de 2025