El phishing es una técnica de ciberataque
El phishing es una técnica de ciberataque que se ha vuelto cada vez más sofisticada y peligrosa para las empresas en todo el mundo, incluyendo Colombia. Este tipo de ataque consiste en engañar a los usuarios para que proporcionen información confidencial, como nombres de usuario, contraseñas y datos bancarios, a través de correos electrónicos fraudulentos o sitios web falsos. A continuación, se presentan tres ejemplos reales de empresas colombianas que han sido víctimas de ataques de phishing y se desarrollan cinco pautas para reducir la posibilidad de ser atacados.
Ejemplos de Ataques de Phishing en Empresas Colombianas
- EPM (Empresas Públicas de Medellín): En 2022, EPM sufrió un ciberataque que resultó en la pérdida de datos sensibles y la interrupción de sus servicios. Los atacantes utilizaron un correo electrónico de phishing para engañar a un empleado y obtener acceso a la red de la empresa.
- EPS Sanitas: La empresa de salud EPS Sanitas también fue víctima de un ataque de phishing en 2022. Los ciberdelincuentes enviaron correos electrónicos falsos a los empleados, solicitando información personal y financiera, lo que resultó en la exposición de datos confidenciales de los pacientes.
- Universidad Javeriana: En otro caso, la Universidad Javeriana fue atacada mediante un correo electrónico de phishing que engañó a un miembro del personal, permitiendo a los atacantes acceder a la información de los estudiantes y empleados.
Pautas para Reducir la Posibilidad de Ataques de Phishing
1. Capacitación Continua:
- Participación en Talleres: Los empleados deben participar en sesiones de capacitación regulares sobre ciberseguridad y phishing, donde se aborden ejemplos reales y se realicen ejercicios prácticos.
- Autoevaluación y Retroalimentación: Después de cada taller, completar cuestionarios de autoevaluación y proporcionar retroalimentación para mejorar futuras capacitaciones.
2. Implementación de Filtros de Correo Electrónico:
- Reportar Correos Sospechosos: Cada empleado debe reportar inmediatamente cualquier correo sospechoso al equipo de TI, utilizando las herramientas de reporte integradas en el cliente de correo electrónico.
- Uso de Funciones de Seguridad: Familiarizarse y utilizar las funciones de seguridad disponibles en sus clientes de correo electrónico, como el marcado de spam y el bloqueo de remitentes no deseados.
3. Verificación de Enlaces y Dominios:
- Escribir Directamente los Dominios: Asegurarse de escribir directamente los dominios de los portales en el navegador en lugar de hacer clic en enlaces de correos no solicitados.
- Revisión de Enlaces: Antes de hacer clic en cualquier enlace, pasar el cursor sobre el enlace para verificar la URL completa y asegurarse de que coincide con el dominio legítimo.
4. Políticas de Seguridad Claras:
- Seguir Procedimientos Establecidos: Todos los empleados deben familiarizarse y seguir las políticas de seguridad cibernética establecidas por la empresa, incluyendo la gestión segura de contraseñas y la autenticación de dos factores.
- Comunicación Abierta: Mantener una comunicación abierta con el equipo de TI para reportar cualquier incidente sospechoso o recibir asesoramiento sobre mejores prácticas de seguridad.
5. Simulaciones de Phishing:
- Participar en Simulaciones: Involucrarse activamente en las simulaciones periódicas de ataques de phishing organizadas por la empresa para evaluar y mejorar las habilidades de identificación y respuesta.
- Aprender de los Resultados: Analizar los resultados de las simulaciones y aplicar las lecciones aprendidas para fortalecer la defensa contra futuros intentos de phishing.
En conclusión, el phishing es una amenaza real y creciente para las empresas colombianas. Al implementar estas pautas y mantener una cultura de ciberseguridad, las empresas pueden reducir significativamente el riesgo de ser víctimas de ataques de phishing y proteger su información sensible.