2018-11-21T16:42:25+01:0021/11/2018|Etiquetas: , , , |

Por: Chris Mermigas, Abogado Corporativo Senior, Región de Estados Unidos

Las diferentes ofertas de negocios de Valid se centran en el lado seguro de la innovación, ya sea protegiendo la identidad en una tarjeta de crédito o permiso de conducir, o protegiendo la información confidencial de nuestros clientes. En esta era digital, los ladrones ya no entran por el sistema de ventilación para robar archivos de los ordenadores. Ahora manipulan un teclado o un teléfono desde cualquier lugar del mundo haciéndose pasar por ser su jefe, un CEO, un cliente, un banco o incluso un oficial del gobierno. Esas identidades fraudulentas asumidas en correos electrónicos enviados por compañías o individuos aparentemente respetables, se dirigen a usuarios distraídos con el fin de solicitar información personal y confidencial, o incluso dinero. Esta práctica peligrosa y generalizada se conoce como «phishing» (suplantación de identidad). Las dos formas más comunes de phishing en un ambiente corporativo son (1) hacerse pasar por un ejecutivo corporativo que solicita una tarjeta de regalo, información bancaria y/o información confidencial, y (2) hacerse pasar por una empresa acreditada facilitando un enlace (link) que al ser accionado expone el ordenador a un software malintencionado y/o a un acceso no autorizado.

El primer tipo de phishing –un ejecutivo corporativo que solicita tarjetas de regalo, información bancaria y/o información confidencial– puede ser difícil de cuestionar pero es fácil de identificar. Ejemplos de este tipo de phishing incluyen, entre otros, los siguientes:

  • Un correo electrónico de un ejecutivo que solicita que las tarjetas de regalo se envíen a un local desconocido o a un número de teléfono desconocido por mensaje de texto.
  • Un correo electrónico de un compañero de trabajo que solicita que las muestras de productos se envíen a una empresa o dirección desconocida.
  • Un correo electrónico de un ejecutivo o empleado que solicita información bancaria.
  • Un correo electrónico de un ejecutivo que solicita una transferencia bancaria.
  • Lo siguiente es más común en un entorno personal que en un entorno corporativo: Una llamada de la Entidad de Impuestos Internos que afirma que se ha emitido un mandato contra usted o que se va a presentar una demanda en su contra.

Estas son apenas algunas de las formas deshonestas en las que este tipo de phishing puede ocurrir. A veces, el intento de phishing puede ser difícil de identificar o cuestionar. No es fácil cuestionar una solicitud de un ejecutivo corporativo o un agente del gobierno. Sin embargo, es esencial que usted cuestione todo lo que le parezca raro o le suene mal: confirme la identidad del contacto y no tenga miedo a pedir ayuda a su departamento de TI o legal.

El segundo tipo de phishing consiste en fingir ser una empresa respetable facilitando un enlace malintencionado que puede poner en riesgo la seguridad de la empresa con un simple clic del ratón. Todos saben que no se debe aceptar golosinas de extraños, en este sentido y ampliando la idea: en esta era digital, nunca haga clic en los enlaces a menos que de que esté 100% seguro de provienen de una fuente conocida.. Ejemplos de este tipo de phishing mediante enlaces incluyen, entre otros, los siguientes:

  • Un correo electrónico de intercambio de archivos en el que se le pide al destinatario ver o revisar un documento.
  • Un correo electrónico que solicita al usuario que vea una noticia o artículo.
  • Un correo electrónico que es parecido al de un sistema corporativo de recursos humanos.
  • Un correo electrónico que parece provenir de su banco o de la compañía de su tarjeta de crédito.

Una vez más es importante dejar claro que estas son solo algunas de las distintas variaciones de correos electrónicos maliciosos que engañan al usuario buscando que haga clic en un enlace que contiene malware o redirige al usuario a una página que requiere la entrada de información privada, confidencial o de inicio de sesión.

Hay muchas maneras en las que un delincuente cibernético puede violar una red segura o robar información, y no existe una defensa infalible para impedir que eso suceda. No hay ninguna garantía de que el departamento de TI corporativo bloqueará todos los mensajes de correo electrónico de phishing, o de que su sistema de correo electrónico los considerará como SPAM. La mejor defensa es hacer una vigilancia constante, lo que debe incluir tomar las siguientes acciones de forma consistente:

  1. No haga clic en enlaces o adjuntos de remitentes desconocidos que no conoce.
  2. Sea especialmente cauteloso al abrir archivos adjuntos o al hacer clic en enlaces de fuentes externas a su empresa.
  3. Compruebe las direcciones de correo electrónico del remitente tratando de identificar si hay nombres de dominio sospechosos o engañosos.
  4. No proporcione información personal confidencial en correos electrónicos (como nombres de usuario y contraseñas).
  5. Mantenga el cursor de su ordenador sobre un enlace para inspeccionar la dirección de Internet/URL buscando detectar si son legítimos y no de sitios web impostores.
  6. No trate de abrir un documento compartido que no espera recibir.
  7. Si recibe un correo electrónico que no conoce, o si no está seguro de la legitimidad de un correo electrónico, NO RESPONDA. En su lugar, llame al remitente para confirmar el correo electrónico o póngase en contacto con el departamento de TI para investigar.

La práctica de phishing viene siendo una amenaza cibernética grave y constante para los sistemas personales y corporativos desde hace muchos años, y esta amenaza no será mitigada tan pronto. Además, las personas que usan phishing encuentran medios deshonestos y nefastos con el fin de engañar a las personas. Es importante estar atento y ser consciente de no hacer clic en enlaces desconocidos. Nadie le debe solicitar información personal, nombres de usuario, contraseñas, información bancaria o dinero a través de correos electrónicos.