Suplantación y robo de datos: así son los ciberataques en los que más «pican» los trabajadores en remoto

El trabajo desde casa, al que todavía obliga la pandemia, ha provocado que muchos hayan tenido que hacer cursillos acelerados de ciberseguridad desde el salón. Y es que, las prisas para adaptarse a la nueva realidad, el aumento de la superficie de exposición de las empresas en internet, y la falta de un grupo de expertos a mano, exigen que el usuario esté más atento que nunca a las amenazas. Especialmente, en lo que se refiere al phishing: los ataques en los que el ciberdelincuente suplanta a un tercero -como podría ser una compañía o una institución pública- y emplea ingeniería social para engañar a la víctima y robar información. Desde contraseñas hasta números de tarjera de crédito o direcciones.

La compañía de ciberseguridad Sophos ha realizado una investigación para descubrir cuáles son los «cebos» más peligrosos. Para ello ha empleado una herramienta que simula ataques de phishing y, de este modo, ver cómo reaccionan los empleados. La conclusión, después de realizar la prueba, es que los ataques adaptados a la nueva normalidad siguen siendo capaces de hacer mucho daño. «Estamos viendo ataques devastadores. Antes hemos estado hablando con una aseguradora del sector sanitario que lleva un mes afectada por un ciberataque. Con un 99% de posibilidades por culpa de un phishing. En estos momentos los ciberdelincuentes están planificando muy bien este tipo de ataques y están teniendo un gran éxito», explica a ABC Ricardo Mate, director general de Sophos.

Suplantando a la empresa

Los ciberdelincuentes pueden hacer mucho daño suplantando a otros miembros de la empresa. Según la herramienta de simulacros de phishing de Sophos, llamada Sophos Phish Threat, la principal amenaza de este tipo recibe el nombre de «Código de conducta». En el correo los cibercriminales suplantan a los Recursos humanos de la empresa en cuestión y, a continuación, señalan que el empleado debe leer los nuevos términos de conducta de la compañía. «Dado que la mayoría del personal sabe que es un contenido de lectura obligatoria (porque se trata de Recursos Humanos), es la estafa en la que más caen los empleados», explican desde la firma de ciberseguridad.

Como es habitual en este tipo de ataques, para poder realizar la lectura se le solicita al empleado que haga «clic» sobre un hipervínculo que le redirige a una página maliciosa donde se le solicitan una serie de datos personales. En caso de que los comparta, esa información va a parar a manos de los ciberdelincuentes detrás de la amenaza. «Estamos observando que los ataques de phishing cada vez están más preparados. Los ciberdelincuentes están esforzándose para conseguir que la mayor cantidad de gente pique. El correo que emplean para el ataque, además, en muchos casos llega con el dominio de la empresa, por lo que es muy difícil saber si se trata de una comunicación oficial », dice Mate.

Trabajar desde casa no es lo mismo

Sophos también ha detectado que los trabajadores suelen cometer errores cuando el correo electrónico malicioso informa sobre temas cotidianos; como aquellos en los que se notifica que la herramienta en remoto va a estar en mantenimiento o en los que se anuncia que se están haciendo pruebas para ver que las cuentas de email funcionan correctamente. «Es probable que muchos trabajadores ignoren este tipo de mensajes, pero el teletrabajo ha cambiado algunas conductas y saber cuándo se puede interrumpir el acceso es ahora más relevante», explican desde Sophos.

La compañía de ciberseguridad también ha destacado las amenazas de phishing en las que los cibercriminales llaman a actuar con cierta urgencia, pero sin realizar ninguna solicitud que resulte sospechosa dentro de una empresa. Ese es el caso por ejemplo, de correos en los que se anuncia que ha habido algún problema con la entrega de un paquete. «Este es un truco probado y comprobado que los cibercriminales han usado durante años. Hoy en día, es especialmente creíble debido al aumento de compras por internet y de envío a domicilio», explican desde la firma de ciberseguridad.

Otro correo de phishing que da problemas es en el que se afirma al trabajador que tiene una nueva tarea a realizar. O que se ha realizado un cambio en la política de vacaciones. «La crisis del coronavirus ha obligado a muchas empresas a cambiar sus políticas de vacaciones. Esta información es de alto interés para toda la plantilla por lo que también es un riesgo importante», apuntan desde Sophos.

Falta de concienciación

El director general de Sophos explica que el teletrabajo ha provocado que resulte más difícil distinguir una comunicación maliciosa de este tipo: «La gente que está trabajando desde casa es más sensible a ser engañada. Tienen menos precucion porque no están en un entorno laboral y eso puede llevarles a distraerse y a romper la cotidianidad. Por ejemplo, consultando su correo personal o empleando herramientas para llevar a cabo el trabajo, que no son las adecuadas».

Asimismo, Mate destaca que, a pesar del paso del tiempo, y de haber tenido tiempo para ponerse al día desde la llegada de la pandemia, todavía son muchas las empresas que no han tomado las medidas necesarias para fortalecer sus sistemas de seguridad: «Muchas compañías han dotado a sus trabajadores en remoto de ordenadores de empresa y han establecido redes virtuales. Sin embargo, la proteccion en muchos casos es rudimentaria y depende exclusivamente de un antivirus. Algo que solo garantiza entre un 10 y un 12 por ciento de proteccion. Queda muchísimo que hacer en este sentido».

El director general de Sophos también destaca que, para evitar ser víctima de un correo de phishing, es determinante que el usuario preste atención a todas las comunicaciones que reciba antes de hacer nada. «Hay correos de este tipo que están tan bien hechos que pueden llevar a duda al trabajador. Por eso hay que consultar con los expertos de la empresa antes de hacer nada. También hay que sospechar especialmente de todo lo que no tenga sentido. Por ejemplo, no tiene sentido que me llegue un correo de la DGT en el que me digan que tengo una multa sin pagar. En todo caso me enviarían una carta a mi domicilio», apunta Mate.

APLIRED

IT & Bussines Consulting Services