¿Por qué los phishers atacan a los nuevos empleados?

Blog, Ciberseguridad

¿Por qué los nuevos empleados son el principal objetivo de los phishers? Descubra las razones de esta tendencia y cómo proteger a sus empleados de las estafas de phishing.

por Ahona Rudra

Última actualización:
Tiempo de lectura: 6 min
¿Por qué los phishers atacan a los nuevos empleados?
Índice-

Con el paso de los años, la tecnología se ha ido imponiendo en todos los ámbitos. Los avances tecnológicos también han permitido a los ciberdelincuentes descubrir formas innovadoras de robar información.

Por lo general, las grandes empresas con miles de empleados son el objetivo. Sin embargo, esto no exime a las empresas más pequeñas de la línea de fuego. La falta de medidas de ciberseguridad adecuadas facilita que los phishers encuentren el punto más débil, normalmente un empleado nuevo.

Se ha registrado que uno de cada cuatro empleados admite haber hecho clic en los enlaces adjuntos a los correos electrónicos de phishing.

Por lo tanto, las organizaciones deben idear y aplicar estrategias para prevenir los ataques de phishing. También se requiere una formación exhaustiva de los empleados y su concienciación sobre los ciberdelitos. Este artículo pretende familiarizarle con las estafas de phishing a empleados, sus tipos y las formas de atajarlas.

Puntos clave

  1. Los ciberdelincuentes se dirigen cada vez más tanto a las grandes empresas como a las pequeñas a través de ataques de phishing.
  2. Los nuevos empleados son especialmente vulnerables debido a su falta de familiaridad con los protocolos de la empresa y las mejores prácticas de ciberseguridad.
  3. Los ataques de phishing suelen consistir en mensajes personalizados que intentan eludir toda sospecha y manipular al destinatario para que revele información sensible.
  4. La formación periódica de los empleados y los programas de concienciación son esenciales para dotar a los trabajadores de las habilidades necesarias para reconocer y responder a las amenazas de phishing.
  5. La aplicación de medidas sólidas de seguridad del correo electrónico, como SPF, DKIM y DMARC, puede reducir significativamente el riesgo de éxito de los intentos de phishing contra una empresa.

Entender el phishing

El phishing es un tipo de ciberataque en el que los estafadores engañan a la gente para que facilite información vital a través de correos electrónicos y enlaces falsos. La información varía mucho en función del objetivo del phisher y suele ser de carácter sensible. 

La información suele contener datos de acceso, información sobre cuentas, contraseñas y credenciales bancarias, etc. Un ataque de phishing exitoso es capaz de causar pérdidas a gran escala para una empresa. No sólo viola información sensible, sino que también puede difamar a la empresa utilizando su información confidencial.

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

4 ataques de phishing comunes dirigidos a nuevos empleados

La mayoría de los ataques de phishing dirigidos a empleados se basan en mensajes personalizados. El contenido del mensaje se formatea de manera que pueda parecer cercano al usuario, para evitar sospechas. 

Con el tiempo, los atacantes han modificado los hábitos tradicionales de phishing. Por lo tanto, es obligatorio actualizar los conocimientos de los empleados sobre los tipos de ataques de phishing. Les ayudará a reconocer un ataque con prontitud. A continuación se indican algunos ataques de phishing comunes dirigidos a empleados.

1. Correos electrónicos de phishing de empleados

Es el ataque de phishing más común y la forma más cómoda de estafar a los nuevos empleados. Este tipo de ataques se propagan a través de correos electrónicos. El atacante crea un correo electrónico haciéndose pasar por la empresa matriz del empleado con la intención de robar información sensible.

La IA ha influido drásticamente en estos ataques de phishing al ayudar a los atacantes a generar correos electrónicos de phishing de alta calidad sin errores identificables. 

2. Spear Phishing

El spear phishing es una forma muy selectiva de ataque de phishing. Tienen un objetivo específico dirigido a ese empleado. Tras recopilar información sobre el usuario, se elabora y envía un correo electrónico personalizado. Este correo electrónico se hace pasar por una fuente legítima que la víctima reconoce al instante.

En el spear phishing, el correo electrónico malicioso suele empezar con el nombre del destinatario en lugar de un saludo general. El atacante suele añadir los datos laborales o de la cuenta del empleado y le pide que inicie sesión en ella para actuar.

3. La caza de ballenas

La caza de ballenas se produce del mismo modo que el phishing. En este caso, los atacantes se dirigen a trabajadores de alto perfil, como ejecutivos de la C-suite. Al igual que otros ataques de phishing, también utiliza un correo electrónico malicioso o un mensaje que contenga cierta sensación de urgencia.

Consiste en suplantar la identidad de estos altos ejecutivos, normalmente instando a las víctimas a abrir un archivo adjunto vinculado a un correo electrónico malicioso o a compartir datos confidenciales. Una vez recopilada la información del objetivo, puede utilizarse para explotar los datos de la empresa.

4. Ataques de pesca con caña

Se trata de un tipo de ataque de phishing relativamente nuevo. El phishing de pescador utiliza las redes sociales o un sitio web para propagar malware. Se persuade a los empleados para que abran una URL específica o un tuit. El sitio web puede pedir a los nuevos empleados que introduzcan los datos de acceso para realizar la función deseada, lo que da lugar a una violación de datos.

Además, en este tipo, los phishers también utilizan los datos publicados por los empleados en sus cuentas de redes sociales para crear ataques muy selectivos.

¿Por qué los recién contratados son blancos fáciles?

He aquí varias razones que explican por qué los phishers encuentran fácil objetivo a los nuevos empleados. 

Falta de familiaridad con los protocolos de la empresa

Normalmente, la incorporación de nuevos empleados implica asegurarse de que se familiarizan con las políticas de la empresa y las mejores prácticas de seguridad.
También deben saber qué tipo de información de la empresa es 100% confidencial y no debe revelarse bajo ninguna circunstancia. A veces, los nuevos empleados también necesitan ayuda para reconocer las direcciones de correo electrónico auténticas y falsas de la empresa.

Conocimiento limitado de las mejores prácticas de ciberseguridad

Los empleados nuevos suelen necesitar más conocimientos sobre las ciberamenazas. Desconocen las vulnerabilidades y los cabos sueltos, lo que puede hacer que sean fácilmente estafados. Aunque conozcan los ataques de phishing, desconocerían las posibles soluciones y estrategias de prevención.

Mayor disposición a demostrar su valía

Los nuevos empleados tienen una gran pasión por demostrar su valía en su nuevo lugar de trabajo. Actúan con rapidez ante las instrucciones y siguen ciegamente las indicaciones sin verificarlas. Intentan mantenerse activos y responder con eficacia a todos los correos electrónicos enviados por los responsables de la empresa. Los phishers aprovechan esta sensación de urgencia para atraerlos a los ataques de phishing.

Cómo fallan las organizaciones en la ciberseguridad de sus empleados 

La ineficacia de las organizaciones también desempeña un papel importante en la estafa a sus empleados.

Programas de formación insuficientes

La formación y concienciación en ciberseguridad debe proporcionarse a los empleados al inicio de su trabajo. La organización debe organizar estas sesiones de formación interna. Deben concienciar a toda la plantilla sobre las amenazas potenciales y sus soluciones. Crear una cultura de agradecimiento mediante recompensas y reconocimientos a los empleados, como premios personalizables o placas de reconocimiento a medida, puede ayudar a motivar a los empleados para que participen activamente en la formación sobre ciberseguridad y se mantengan alerta ante posibles amenazas.

Dependencia de la comunicación por correo electrónico

El correo electrónico ha sido la principal fuente de comunicación entre los empleados durante años. Dado que el correo electrónico es también el mayor objetivo de los phishers, las empresas pueden plantearse cambiar a plataformas de comunicación en equipo personalizadas como Discord, Slack o Microsoft Teams para la comunicación diaria entre empleados. Mientras que los correos electrónicos pueden reservarse para escenarios específicos y comunicaciones con clientes. 

Falta de seguridad del correo electrónico 

Las organizaciones suelen pasar por alto las mejores prácticas de seguridad del correo electrónico, como la autenticación con SPF, DKIMy DMARC. Esto hace que sus dominios sean vulnerables a ataques de suplantación de identidad, phishing y spoofing. Esto también facilita el envío de correos electrónicos falsos a los nuevos empleados desde dominios falsos de la empresa.

Falta de cumplimiento de la normativa 

No basta con configurar los protocolos de autenticación del correo electrónico. A menos que las organizaciones apliquen sus políticas DMARC, sus dominios siguen siendo vulnerables a las amenazas transmitidas por correo electrónico.

Para pasar de forma segura de una política de no acción a una política de DMARC, regístrese con PowerDMARC.

Importancia de la sensibilización y la formación de los empleados 

Los cursos de sensibilización para empleados son algo más que una mera formalidad. La formación de PowerDMARC de PowerDMARC han ayudado a miles de candidatos, incluidos nuestros propios empleados, a mantenerse alerta ante las amenazas del correo electrónico.

Además, los nuevos empleados pueden utilizar algunos de los siguientes consejos y estrategias para evitar los ataques de phishing.

  • Manténgase informado sobre los ataques de phishing, asista a sesiones de formación en seguridad y conozca las últimas tendencias en ciberseguridad, como la IA y informática cuántica.
  • Vigile la legitimidad de las cuentas de correo electrónico y los enlaces adjuntos. Evite los correos electrónicos que utilicen un sentido de urgencia o soliciten una acción urgente.
  • Mantenga todo el software y las herramientas de seguridad actualizados y libres de virus: actualice los sistemas con software antivirus, antimalware y cortafuegos.
  • Mueva el cursor sobre el enlace adjunto y lea atentamente el contexto para evitar correos sospechosos. Si sospechas de la autenticidad del correo, ponte en contacto con el remitente y confírmalo con él a través de cualquier otra plataforma.
  • Proteja sus dominios de correo electrónico mediante protocolos avanzados de autenticación de correo electrónico como SPF DMARCy DKIM.

Resumiendo 

Para toda empresa, los empleados son una fuente esencial de defensa contra las filtraciones de datos. Sin embargo, los correos electrónicos maliciosos siguen llegando a las bandejas de entrada de los empleados incluso después de aplicar diversos protocolos de seguridad. 

Por lo tanto, lo único que puede evitar que las organizaciones sufran ataques es establecer medidas preventivas y elegir a los proveedores de servicios de seguridad adecuados. PowerDMARC ha ayudado a organizaciones de todos los tamaños a alinear sus necesidades de seguridad de dominio y lograr el cumplimiento sin implicaciones negativas en la entregabilidad del correo electrónico. Para mejorar la seguridad de su dominio, puede ponerse en contacto con nosotros hoy mismo.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
¿Cómo añadir registros DMARC, SPF y DKIM de Cloudflare? Guía de configuración fácilHow-to-Add-Cloudflare-DMARC,-SPF,-and-DKIM-Records.-Easy-Setup-Guide¿Cómo configurar los registros DMARC, SPF y DKIM de SendGrid? Guía paso a paso