Cómo enfrentar los correos de phishing, cada vez más creíbles

El phishing sigue siendo el método número uno de distribución de ransomware

De acuerdo con una investigación reciente, el phishing sigue siendo el vector de ataque número uno asociado con la distribución de ransomware. Y es fácil ver por qué los atacantes continúan teniendo éxito utilizando esta práctica: según las evaluaciones de phishing realizadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, el 80 % de las organizaciones tenían al menos un empleado que fue víctima de un intento de phishing simulado.

El ransomware continúa impactando a las organizaciones de todos los tamaños a través de las industrias y geografías. Si bien la mayoría de los líderes creen que están listos para defenderse en contra de un ataque –el 78 % asegura estar muy o extremadamente preparado para mitigar la amenaza–, la mitad fue víctima de un ataque de ransomware en los últimos 12 meses.

Tres iniciativas de educación para que los empleados puedan protegerse del phishing

Debido a que la mayoría del ransomware es distribuido a través del phishing, la educación de los empleados es esencial para proteger la organización de estas amenazas. Dicho esto, un mismo programa de educación no necesariamente se adecúa a las necesidades de todos; estos esfuerzos de entrenamiento deben estar diseñados para cubrir las necesidades únicas de una compañía.

A continuación, hay algunos servicios y/o programas que pueden ayudar a los usuarios a entender y detectar el phishing y otras amenazas. Estas opciones pueden servir como base para empezar a construir un programa integral de concientización en seguridad para los empleados:

• Entrenamiento en concientización de seguridad: Implementar un programa de concientización en ciberseguridad continuo –que sea evaluado frecuentemente para que refleje la naturaleza cambiante del panorama de amenazas– es crítico para mantener a una organización segura. Este servicio debe ayudar a los líderes de TI, seguridad y cumplimiento a construir una cultura ciberconsciente en la que los empelados sean capaces de identificar los ataques y evitar caer víctimas de ellos.
• Servicios de simulación de phishing: Distribuir correos de simulación de phishing a los empleados de una organización les permite practicar para identificar las comunicaciones maliciosas y que sepan qué hacer en caso de que un actor de amenazas ataque.
• Entrenamiento gratuito Network Security Expert (NSE): El Instituto de Entrenamiento de Fortinet ofrece módulos de NSE gratis, en español, en línea y autoguiados para enseñar a los usuarios a identificar y protegerse de varios tipos de amenazas, incluyendo los ataques de phishing. Estos módulos pueden ser añadidos a cualquier programa de entrenamiento existente para reforzar conceptos críticos.

Al igual que con la introducción de cualquier tecnología nueva, los ciberdelincuentes encontrarán continuamente formas de utilizar estas herramientas con fines maliciosos. Esto requiere que nuestros equipos de seguridad y todos los empleados de nuestra organización sean aún más diligentes en la protección contra amenazas. Por eso es vital evaluar y desarrollar un programa actual de concientización cibernética, garantizando que los usuarios tengan el conocimiento más actualizado y relevante para mantenerlos a ellos (y a sus datos) seguros.

Sobre el autor: Derek Manky es jefe de Estrategia de Seguridad y VP Global de Inteligencia de Amenazas en FortiGuard Labs. Tiene más de 20 años de experiencia en ciberseguridad. En FortiGuard Labs encabeza el equipo global de inteligencia contra amenazas, que ofrece consultoría a las compañías Fortune 500 a nivel global. Ha orquestado iniciativas como la Asociación del World Economic Forum contra el Cibercrimen, la Cyber Threat Alliance (CTA), NATO NICP, el Grupo de Trabajo Experto de INTERPOL y el Foro para la Respuesta ante Incidentes y Equipos de Seguridad (FIRST).