El phishing es una técnica de ciberataque

El phishing es una técnica de ciberataque que se ha vuelto cada vez más sofisticada y peligrosa para las empresas en todo el mundo, incluyendo Colombia. Este tipo de ataque consiste en engañar a los usuarios para que proporcionen información confidencial, como nombres de usuario, contraseñas y datos bancarios, a través de correos electrónicos fraudulentos o sitios web falsos. A continuación, se presentan tres ejemplos reales de empresas colombianas que han sido víctimas de ataques de phishing y se desarrollan cinco pautas para reducir la posibilidad de ser atacados.

 

Ejemplos de Ataques de Phishing en Empresas Colombianas

  • EPM (Empresas Públicas de Medellín): En 2022, EPM sufrió un ciberataque que resultó en la pérdida de datos sensibles y la interrupción de sus servicios. Los atacantes utilizaron un correo electrónico de phishing para engañar a un empleado y obtener acceso a la red de la empresa.
  • EPS Sanitas: La empresa de salud EPS Sanitas también fue víctima de un ataque de phishing en 2022. Los ciberdelincuentes enviaron correos electrónicos falsos a los empleados, solicitando información personal y financiera, lo que resultó en la exposición de datos confidenciales de los pacientes.
  • Universidad Javeriana: En otro caso, la Universidad Javeriana fue atacada mediante un correo electrónico de phishing que engañó a un miembro del personal, permitiendo a los atacantes acceder a la información de los estudiantes y empleados.

 

Pautas para Reducir la Posibilidad de Ataques de Phishing

 

1. Capacitación Continua:

  • Participación en Talleres: Los empleados deben participar en sesiones de capacitación regulares sobre ciberseguridad y phishing, donde se aborden ejemplos reales y se realicen ejercicios prácticos.
  • Autoevaluación y Retroalimentación: Después de cada taller, completar cuestionarios de autoevaluación y proporcionar retroalimentación para mejorar futuras capacitaciones.

 

2. Implementación de Filtros de Correo Electrónico:

  • Reportar Correos Sospechosos: Cada empleado debe reportar inmediatamente cualquier correo sospechoso al equipo de TI, utilizando las herramientas de reporte integradas en el cliente de correo electrónico.
  • Uso de Funciones de Seguridad: Familiarizarse y utilizar las funciones de seguridad disponibles en sus clientes de correo electrónico, como el marcado de spam y el bloqueo de remitentes no deseados.

 

3. Verificación de Enlaces y Dominios:

  • Escribir Directamente los Dominios: Asegurarse de escribir directamente los dominios de los portales en el navegador en lugar de hacer clic en enlaces de correos no solicitados.
  • Revisión de Enlaces: Antes de hacer clic en cualquier enlace, pasar el cursor sobre el enlace para verificar la URL completa y asegurarse de que coincide con el dominio legítimo.

 

4. Políticas de Seguridad Claras:

  • Seguir Procedimientos Establecidos: Todos los empleados deben familiarizarse y seguir las políticas de seguridad cibernética establecidas por la empresa, incluyendo la gestión segura de contraseñas y la autenticación de dos factores.
  • Comunicación Abierta: Mantener una comunicación abierta con el equipo de TI para reportar cualquier incidente sospechoso o recibir asesoramiento sobre mejores prácticas de seguridad.

 

5. Simulaciones de Phishing:

  • Participar en Simulaciones: Involucrarse activamente en las simulaciones periódicas de ataques de phishing organizadas por la empresa para evaluar y mejorar las habilidades de identificación y respuesta.
  • Aprender de los Resultados: Analizar los resultados de las simulaciones y aplicar las lecciones aprendidas para fortalecer la defensa contra futuros intentos de phishing.

 

En conclusión, el phishing es una amenaza real y creciente para las empresas colombianas. Al implementar estas pautas y mantener una cultura de ciberseguridad, las empresas pueden reducir significativamente el riesgo de ser víctimas de ataques de phishing y proteger su información sensible.