En las últimas semanas viene rodando una cadena en WhatsApp en la que un supuesto “gerente de Amazon” ofrece una oferta de empleo.
Publicado por: El País
Lo que es evidente en este caso es que este mensaje es falso y se clasifica bajo la modalidad de estafa denominada phishing o comunicación fraudulenta.
Ante este panorama, Aamir Lakhani, estratega e investigador de Seguridad Global en Fortinet, recordó que este tipo de ciberamenazas usualmente llegan a los usuarios a través de correo electrónico, plataformas de mensajería, SMS o redes sociales.
“Durante estos fraudes, el atacante se hace pasar por un contacto de confianza para robar datos sensibles como credenciales de ingreso a cuentas, número de cuenta bancario o tarjetas de crédito”, dijo el experto.
Lea también: Hombres que trabajan en áreas de ciencia y tecnología ganan un salario 40 % más alto que las mujeres
Algunos de los tipos de phishing más conocidos son spear phishing, clone phishing (imitan a entidades oficiales), vishing (uso de la línea telefónica convencional), whaling (suplantación de sitios web y correos electrónicos), snowshoeing y robo de correo electrónico corporativo, entre otros.
“Lo que une a estos ataques es que persiguen el mismo objetivo, robo de identidad o transferencia de malware”, explicó.
¿Cómo combatir el phishing?
1. Habilitar filtros contra spam: esto es posiblemente la defensa más básica de una organización contra el phishing. Los filtros de spam son de gran ayuda ya que proveen una capa de seguridad extra a la red, lo que es especialmente importante dada la popularidad de un email como vector de ataque.
2. Actualizar los softwares de manera regular: asegurar que tanto los sistemas operativos como los softwares que utiliza la organización se actualicen de forma regular, el parcheo puede fortalecer los softwares y sistemas operativos vulnerables en contra de algunos ataques.
3. Implementar autenticación de múltiples factores (MFA): MFA requiere que un usuario provea múltiples piezas de información antes de iniciar sesión en una red corporativa y obtener acceso a sus recursos. En general, esto exige implementar al menos dos de estos tres elementos: algo que conoce (contraseña o PIN), algo que tiene (token físico) y algo que es (huella digital, escaneo de iris o reconocimiento de voz).
4. Respaldar la información: todos los datos corporativos deben ser encriptados y respaldados de manera regular, ya que esto es crítico en caso de una brecha de seguridad o que alguna se vea comprometida.
5. Bloquear los sitios web no confiables: utilizar un filtro web para bloquear acceso a sitios maliciosos en caso de que algún empleado sin querer de clic a un enlace corrupto.
Le puede interesar: Elon Musk confirma que compra Twitter “por el futuro de la civilización”
