Simulamos un ataque de phishing como ejercicio de concienciación de nuestro equipo.
“A mí no me van a engañar tan fácilmente”.
Esto es algo que muchas veces escuchamos a nuestro alrededor. Pensamos que no es fácil que nos roben las contraseñas o que se metan en nuestro sistema. Pero los trucos de hackeo están hechos para que caigamos sin apenas darnos cuenta.
Por eso es tan importante mantener informado y formado a nuestro equipo para evitar ciberataques que podrían costarnos un buen disgusto en la empresa.
Hace unas semanas hicimos una prueba en GRUPO GISMA. Nos pareció la mejor manera de hacer entender a nuestras compañeras y compañeros lo fácil que podemos caer en las ‘cibertrampas’.
Llevamos ya un tiempo promoviendo la cultura de seguridad dentro de GRUPO GISMA. Pero este ejercicio de concienciación sirvió para demostrar a toda la empresa, de manera práctica, que podemos ser vulnerables si no estamos alerta.
¿Cómo llevamos a cabo el simulacro de phishing?
Desde el equipo informático, y apoyándonos en las herramientas de INCIBE, el instituto de ciberseguridad de España, creamos un email fraudulento que intentaba simular los correos que enviamos habitualmente, y lo mandamos a todas las personas de la organización con un enlace que debían clicar para introducir sus claves.
Para ello, habíamos creado previamente una copia de la aplicación interna a la que íbamos a dirigir a las personas para que introdujeran su usuario y contraseña. Ya sólo quedaba esperar a ver quién picaba y dejaba sus claves en esa aplicación fraudulenta.
El simulacro de phishing estaba en marcha.
Pero, ¿qué es el phishing?
El phishing es un ataque de suplantación de identidad en el que el atacante intenta hacerse pasar por otra persona, departamento o empresa, con el fin de conseguir algo de lo que sacar beneficio posteriormente. Habitualmente buscan credenciales de acceso, un usuario y contraseña, un número de tarjeta…
Esto se basa en la ingeniería social: Cuando no pueden engañar a un ordenador, intentan engañar a las personas usuarias que conocen esos datos para conseguirlos.
Si hubiera sido un ataque real…
Si un atacante hubiera conseguido la contraseña de una o uno de nuestros compañeros, podrían haberse desencadenado consecuencias muy negativas:
Cuando un atacante consigue las claves de una cuenta, puede acceder a su correo para leer información estratégica sobre su actividad laboral, colaboraciones, información de clientes o del plan estratégico. ¿Y qué provecho puede sacar a esa información? En ocasiones busca venderla a la competencia. O chantajea a la empresa atacada pidiendo una recompensa a cambio de no publicarla.
Con esas claves, el atacante puede acceder a otras aplicaciones o a las cuentas de redes sociales desde las que puede llevar a cabo acciones para debilitar la imagen corporativa. De acceder a los datos del departamento financiero, incluso podría estafar a la clientela de la empresa.
Pero no sólo eso. Además, si uno de nuestros compañeras o compañeros hubiera hecho clic en el enlace del correo fraudulento, se podría haber descargado un software que se instalara en su ordenador e infectara el resto de equipos de la empresa, cifrando toda la información de la organización. En estos casos, el atacante suele pedir un rescate a cambio de liberarla.
Esto ha supuesto incluso el cierre de algunas empresas que no han podido recuperar la información necesaria para continuar con su actividad.
¿Cómo puedo darme cuenta de que estoy sufriendo un ataque de phishing?
Siempre hay pistas que nos pueden indicar que el correo que hemos recibido es sospechoso. En nuestro caso, la cuenta de correo no era corporativa, sino que era una cuenta de Gmail. La firma del correo no era similar a la que usamos normalmente. Y el enlace a la aplicación interna no era el habitual.
Algunas de las cosas que nos pueden hacer sospechar, y que son características de estos tipos de mails:
- Nos piden introducir contraseña o iniciar sesión. Normalmente simulan ser emails que vienen de servicios de paquetería, servicios de suscripción, compañías del gas o la electricidad…
- El texto contiene faltas de ortografía o caracteres extraños. En ocasiones estos ataques vienen de vienen de otros países y la traducción tiene algún fallo.
- Utilizan fórmulas para no intentar poner el nombre, como “hola”, “estimado usuario”, “estimado contribuyente” …
- Se pide hacer algo con urgencia, para intentar que se lleve a cabo la acción inmediatamente, sin tiempo para revisar lo que se está demandando: “si no lo haces, se te cancelará la cuenta”.
En muchas ocasiones, este tipo de emails van directamente a la carpeta de spam, pero, para evitar caer en el engaño, es conveniente prestar atención ante los correos sospechosos, siguiendo estas recomendaciones:
- No hagas clic en el enlace inmediatamente. Al pasar por encima, puedes ver la URL de destino y comprobar si es la web oficial.
- A veces acortan la URL con herramientas tipo bit.ly y no puedes saber el destino final del enlace. En este caso, existen webs en internet que lo revisan por ti.
- Revisa el email del remitente. En ocasiones han podido cambiar la denominación del remite, pero el dominio no lo pueden cambiar.
El correo, la puerta de acceso a cualquier servicio
Conociendo las contraseñas de tu correo, se puede pedir que nos recuerden la contraseña de cualquier otro servicio o aplicación. Así pues, el correo es, casi siempre, la puerta de acceso a cualquier servicio.
Por eso, recomendamos:
- No compartas las contraseñas, incluso dentro del mismo equipo de trabajo. Tal vez sea la misma de tu correo, y recuerda que ahí tienes información que otras personas no tienen por qué ver.
- Activa el doble factor de autenticación. Este factor incluye una serie de pasos para acceder a un servicio. El paso 1 suele ser indicar usuario y contraseña. El paso 2 implica una acción desde otro dispositivo, como introducir una clave recibida en el móvil o usar una aplicación que genera códigos. Se puede incluir un paso más, como, por ejemplo, marcar la huella digital.
- No utilices las mismas contraseñas para todos los servicios. Para esto podemos usar un gestor de contraseñas. Habitualmente es una aplicación que puedes tener en tu equipo o en internet. Hay que cerciorarse de que es un servicio seguro y utilizar una contraseña muy fuerte.
El ciberataque nos dio pie para organizar formaciones internas de concienciación del equipo y ahora, en caso de suceder un episodio de phishing, será mucho más complicado engañarles.
Pero existen otros muchos tipos de ciberataques. La buena noticia es que podemos evitarlos siguiendo estas recomendaciones finales:
- No caer en ataques de phishing evitando hacer clic en enlaces (revisar hacia dónde apuntan antes de clicar).
- No usar los equipos de la empresa para visitar sitios para temas personales. Podríamos entrar en páginas menos seguras.
- Mostrar las extensiones de los ficheros en nuestro ordenador. A veces se instalan programas ejecutables que simulan ser archivos de texto y podríamos pinchar sin darnos cuenta.
- Asegurarnos de que se hacen copias de seguridad de la información relevante.
- Si tenemos que instalar un programa, asegurarnos de que es fiable y descargarlo del sitio oficial.
- Mantener el equipo actualizado.
- No clicar en ventanas emergentes que ofrecen instalar o actualizar algo que no hemos solicitado.
Si tienes dudas contáctanos sin compromiso. Nuestro equipo informático estará encantado de ayudarte.
Vía telefónica llamando al 943.28.75.01 o si lo prefieres envíanos un email a grupogisma@grupogisma.com