¿Se convertirá el teletrabajo en un medio adicional para los ataques de phishing?
Si bien, por muchas razones, la mayoría de los empleados consideran que el teletrabajo es una experiencia beneficiosa, la mayoría de los responsables de TI temen los ciberataques que amenazan a sus organizaciones. De hecho, el teletrabajo implica que los usuarios trabajen en un entorno informático cuyo nivel de seguridad (¡si es que existe!) no pueden controlar sus equipos. Esto es motivo de preocupación, y con razón. Sobre todo porque garantizar la seguridad del sistema de información sigue siendo una de las misiones esenciales del responsable de TI.
De hecho, sabemos que una implementación mal «delimitada» del teletrabajo puede suponer una verdadera oportunidad para los ciberdelincuentes. Según el CESIN,el phishing es el principal vector de los principales ataques de ciberdelincuencia. La reciente crisis de la COVID-19 nos lo ha demostrado: el número de ataques de phishing ha aumentado exponencialmente durante este periodo. Sin escrúpulos, los ciberdelincuentes han aprovechado esta «oportunidad» para explotar las fallas de seguridad y las fallas humanas.
Un aumento del 667 % en los correos electrónicos de phishing
El editor de seguridad Barracuda Networks registró en marzo
«un aumento del 667 %... de los correos electrónicos de phishing dirigidos
que explotaban el tema de la COVID-19 para intentar aprovecharse del miedo de los usuarios».
(fuente:Le Monde Informatique)
Estos correos electrónicos de phishing están repletos de archivos adjuntos o enlaces fraudulentos. Cuando el usuario hace clic en ellos, aunque sea sin darse cuenta, un software malicioso (ransomware,troyano) se introduce en el sistema informático de la organización. Estos «ransomware» también pueden sustraer datos confidenciales como:
- su contraseña;
- sus datos de acceso;
- sus datos personales;
- datos confidenciales...
Los ciberdelincuentes también pueden realizar solicitudes de dinero inusuales. Por ejemplo, la técnicade phishing dirigido como «el fraude del presidente», que se comete suplantando la identidad de un tercero de confianza (compañero de trabajo, responsable...) o haciéndose pasar por una fuente «fiable» (proveedor, administraciones, bancos, etc.).
A modo de ejemplo, en:
- ofreciéndole un reembolso por el exceso cobrado;
- alertándole de un supuesto «problema técnico de seguridad»;
- solicitando una «actualización de sus datos».
¿Cómo evitar las trampas del phishing cuando se trabaja desde casa?
No obstante, si se adoptan los reflejos adecuados para evitar las trampas del phishing, el teletrabajo puede implantarse sin riesgos. Para ello, el usuario debe respetar varios principios básicos, conocidos por cualquier responsable informático avispado:
- Separar los usos profesionales de los personales, en particular el correo electrónico profesional del correo electrónico personal.
- Desconfíe de los correos electrónicos sorprendentes, inesperados, angustiosos, urgentes...
- No confíes solo en la dirección de correo electrónico del remitente: si tienes dudas, llama por teléfono al remitente.
- No haga clic en los enlaces que aparecen en este tipo de correos electrónicos.
- No abra archivos adjuntos sin haber comprobado personalmente con el remitente que se trata de archivos fiables.
- Comprueba la URL de los enlaces pasando el ratón por encima, pero sin hacer clic en ellos.
- Mantener la curiosidad realizando investigaciones propias.
- Nunca facilite datos que el remitente no debería solicitar al usuario.
- Cambiar las contraseñas de los correos electrónicos (y otras cuentas) tan pronto como se sospeche que han sido pirateadas.
- Utilizar una contraseña diferente para cada cuenta.
- No conectarse a una red Wi-Fi pública, que rara vez es segura.
- Utilizar una red Wi-Fi segura.
- No hacer en teletrabajo lo que no se haría en la oficina.
Garantizar la seguridad del teletrabajo para los responsables de TI
Defina y difunda una política de seguridad informática que incluya las siguientes recomendaciones relativas a la gestión del correo electrónico:
- Prohíba el envío de correos electrónicos profesionales a través del correo electrónico personal y viceversa.
- Sensibilice a sus usuarios sobre la ciberseguridad, y más concretamente sobre las buenas prácticas que deben adoptar en el uso de su correo electrónico. De hecho, las protecciones técnicas por sí solas nunca son 100 % eficaces si los usuarios no adoptan los hábitos adecuados en materia de ciberseguridad.
Avant De Cliqueres miembro de laCPME, confederación de pequeñas y medianas empresas de todos los sectores: industria, servicios, comercio, artesanía y profesiones liberales, y miembro delMEDEF, la principal red de empresarios de Francia.
- Proporcione la información necesaria para que el usuario pueda ponerse en contacto con alguien del servicio informático en caso de preguntas, dudas y/o un número de teléfono en caso de emergencia.
- Esté siempre preparado para hacer frente a un ciberataque, refuerce su ciberresiliencia.
