A login screen on a computer with a fish hook

10 consejos prácticos para que los empleados prevengan los ataques de phishing

Se lee en 6 minutos

Actualizado September 9, 2024

Empieza con el acceso y soporte remotos de Splashtop

¿Eres consciente de los peligros de los ataques de phishing? Según un informe reciente de Verizon, en el 82 % de las infracciones cibernéticas, hubo personas involucradas a través de credenciales robadas, ataques de phishing, ingeniería social, suplantación de identidad, uso indebido o error.

¿Qué es un ataque de phishing?

El phishing es un ciberataque en el que los atacantes se hacen pasar por entidades legítimas para engañar a las personas y hacerles divulgar información confidencial. Estos ataques a menudo se presentan en forma de correos electrónicos, mensajes de texto o llamadas telefónicas que parecen provenir de fuentes fiables, como bancos, empresas o compañeros. El objetivo principal del phishing es engañar a los destinatarios para que revelen datos personales como nombres de usuario, contraseñas o números de tarjetas de crédito.

Principales técnicas de ataque de phishing

Los ataques de phishing pueden variar ampliamente en su estrategia, pero algunas técnicas comunes incluyen:

Spear Phishing: ataques dirigidos dirigidos a particulares u organizaciones específicas, a menudo utilizando información personalizada para parecer más convincentes.
Phishing clonado: un correo electrónico legítimo con un archivo adjunto o enlace se copia y se envía de nuevo, pero con modificaciones maliciosas en el contenido original.
Whaling: ataques de phishing de alto perfil dirigidos a altos ejecutivos o figuras importantes dentro de una empresa, a menudo involucrando mensajes altamente personalizados y persuasivos.
Smishing: intentos de phishing realizados a través de SMS, donde los atacantes envían mensajes de texto con enlaces o solicitudes de información personal.

¿Por qué el phishing es una preocupación importante para las personas y las empresas?

El phishing es una preocupación importante debido a su potencial para causar daños significativos. Para las personas, ser víctima del phishing puede provocar pérdidas económicas, robo de identidad y violaciones de datos personales. Para las empresas, los ataques de phishing pueden resultar en información confidencial comprometida, pérdidas económicas, daños a la reputación e interrupciones operativas.

Consejos para evitar ataques de phishing

1 - Infórmate

Mantente al día sobre las últimas tácticas de phishing asistiendo a sesiones de formación en seguridad y leyendo sobre tendencias, noticias, incidentes y mejores prácticas de ciberseguridad. Debido a que la sofisticación y los diversos tipos de phishing están en constante crecimiento y evolución, es fundamental mantenerse al día sobre las amenazas actuales.

2 - Estate alerta y desconfía

Cuestiona conscientemente la legitimidad de cada correo electrónico, mensaje de texto y llamada telefónica. Si recibes un correo electrónico inesperado de un compañero de trabajo, una institución financiera, una agencia gubernamental o un proveedor, estate alerta a estos signos reveladores de phishing:

Errores ortográficos o gramaticales: los estafadores incluyen intencionadamente errores tipográficos y gramaticales en los correos electrónicos de phishing para apuntar a víctimas inocentes y desprevenidas mientras eliminan a aquellos que son demasiado inteligentes para caer en las estafas. Los errores tipográficos en los correos electrónicos pueden pasar por alto los filtros de seguridad del correo electrónico o crear una sensación de autenticidad en el mensaje. Además, estos errores pueden ocurrir cuando el remitente no domina el idioma utilizado en el correo electrónico.
Demandas urgentes de información confidencial: los correos electrónicos que utilizan un lenguaje con un sentido de urgencia o miedo tienen como objetivo hacer que los destinatarios actúen rápidamente sin pensar.
Enlaces sospechosos: al solicitar información personal o descargar malware en tu dispositivo, los enlaces de phishing pueden conducir a sitios web sospechosos.
Direcciones de correo electrónico falsificadas: aunque los correos electrónicos de phishing parecen provenir de una fuente legítima, al pasar el ratón sobre la dirección de correo electrónico del remitente se puede verificar si coincide con la supuesta empresa.
Archivos adjuntos inesperados: los correos electrónicos de phishing maliciosos y que dañan tu dispositivo o roban tu información pueden incluir archivos adjuntos inesperados.

3 - Usa contraseñas seguras y autenticación de dos factores

Agrega una capa adicional de seguridad a tus cuentas creando contraseñas seguras y únicas y habilitando la autenticación de dos factores siempre que sea posible. Crea contraseñas seguras combinando letras mayúsculas y minúsculas, números y símbolos.

Averigua cómo de segura es tu contraseña a través de la infografía de Hive System y utiliza Splashtop Vault para gestionar tus contraseñas. Tus cuentas pueden verse comprometidas sin que lo sepas, por lo que se recomienda que cambies regularmente las contraseñas y agregues una segunda forma de identificación.

4 - Mantén tu software y herramientas de seguridad actualizados

Para protegerse contra las amenazas más recientes, actualiza periódicamente los sistemas operativos, los antivirus, los cortafuegos y el software antimalware en todos los dispositivos. Estas actualizaciones incluyen parches de seguridad que abordan vulnerabilidades conocidas y te protegen de las vulnerabilidades de phishing.

5 - Nunca hagas clic en enlaces sospechosos ni descargues archivos adjuntos

Antes de hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos, mensajes de texto o mensajes instantáneos desconocidos, piénsalo dos veces y pasa el ratón sobre el enlace para examinar la URL. Hacer clic en un enlace o archivo adjunto de phishing puede provocar la instalación de malware, el robo de datos o pérdidas económicas.

Si recibes un mensaje sospechoso, verifica la dirección de correo electrónico en busca de errores ortográficos o un saludo genérico y comprueba la legitimidad de los mensajes con el remitente.

6 - Ten cuidado con la información personal

Los ataques de phishing generalmente te engañan para que proporciones información personal o financiera, como tu nombre de usuario, contraseña o número de seguridad social. Ten cuidado al compartir información por internet, ya que las empresas legítimas nunca preguntan por correo electrónico o por teléfono.

7 - Cuidado con las suplantaciones

Comprueba si hay diferencias en la dirección de correo electrónico y el nombre del remitente. Las señales comunes de ingeniería social incluyen:

Solicitudes para obtener información sensible
Pedir transferencias de dinero
Solicitudes de compra inusuales o repentinas
Cambios repentinos al depósito directo

8 - Ten cuidado con las redes Wi-Fi públicas

Evita acceder a información confidencial cuando uses Wi-Fi públicas. Los piratas informáticos pueden robar fácilmente datos de redes no seguras.

9 - Utiliza herramientas antiphishing

Descarga complementos antiphishing que pueden ayudarte a protegerte contra ataques de phishing en todos los dispositivos. Estas herramientas bloquean el acceso a sitios web maliciosos mediante el análisis de correos electrónicos y URL en busca de patrones de phishing conocidos. Estos son algunos complementos antiphishing populares que puedes usar:

Extensión de Netcraft: al supervisar sitios web y marcarlos con un mensaje de advertencia cuando se detectan sitios sospechosos, el complemento antiphishing los compara con bases de datos de sitios de phishing.
Avira Browser Safety: al bloquear sitios web maliciosos, como los sitios de phishing, el complemento analiza las descargas en busca de malware.
Web of Trust (WOT): al basar sus valoraciones en cuanto a la fiabilidad y la reputación, el complemento advierte a los usuarios sobre la mala reputación de los sitios web.

10 - Informa siempre de la actividad sospechosa

Informa de inmediato las sospechas de estafas de phishing a las autoridades correspondientes, como tu departamento de TI o la Comisión Federal de Comercio. Al informar de ellos, puedes ayudar a tu departamento de TI a identificar posibles amenazas de phishing para que puedan prevenir más ataques en el futuro.

¿Por qué los empleados remotos son más susceptibles a los ataques de phishing?

Los empleados remotos son particularmente vulnerables a los ataques de phishing debido a varios factores clave:

Supervisión limitada: los trabajadores remotos a menudo carecen de la supervisión directa de sus compañeros en la oficina y los equipos de TI, lo que dificulta la detección y notificación rápida de actividades sospechosas.
Uso de dispositivos personales: los dispositivos personales y las redes domésticas suelen tener una seguridad más débil en comparación con los sistemas corporativos, lo que aumenta el riesgo de phishing.
Gran dependencia de la comunicación digital: el trabajo remoto depende del correo electrónico, las aplicaciones de mensajería y las videollamadas, que son canales comunes para los intentos de phishing. El alto volumen de comunicación digital puede dificultar la identificación de mensajes maliciosos.
Poca formación en seguridad: es posible que los empleados remotos tengan menos acceso a la formación regular en ciberseguridad, lo que los deja menos preparados para reconocer y manejar las amenazas de phishing.
Aumento de los riesgos de ingeniería social: las interacciones frecuentes con socios y clientes externos generan más oportunidades para los ataques de ingeniería social, donde los phishers se hacen pasar por contactos de confianza.

Atajar estas vulnerabilidades a través de formación específica y medidas de seguridad férreas es esencial para proteger a los empleados remotos de los ataques de phishing.

La prevención de ataques de phishing comienza contigo

Al representar una amenaza importante para las personas y las empresas, los ataques de phishing pueden provocar pérdidas económicas, daños a la reputación y acceso no autorizado a información privada.

Sin embargo, los empleados pueden mitigar estos ataques de manera efectiva si se mantienen informados, están atentos y siguen estas técnicas y consejos prácticos. Educarnos a nosotros mismos y a los demás, mantenernos cautelosos e informar sobre actividades sospechosas puede ayudar a prevenir más ataques de phishing y protegernos a nosotros mismos y a nuestras empresas de daños.

Soluciones de acceso remoto seguro

¿Buscas una solución de acceso remoto seguro para tu empresa? El software de acceso remoto Splashtop proporciona una forma segura para que los empleados accedan a sus ordenadores de trabajo desde cualquier lugar. Con Splashtop, puedes eliminar las preocupaciones sabiendo que tus datos y tu red están seguros. Obtén más información sobre la seguridad de Splashtop y todas las soluciones de Splashtop.

Para poner a prueba tus conocimientos sobre phishing, realiza el cuestionario gratuito sobre phishing en internet de Google.

Jerry Hsieh

Jerry Hsieh es vicepresidente de seguridad y cumplimiento en Splashtop Inc. Jerry es un profesional de TI altamente experimentado con una carrera de más de 20 años en la administración de sistemas, redes y centros de datos. Tiene una firme experiencia en marcos de cumplimiento como SOC2, SOX404, HIPAA y COSO. Jerry tiene un historial demostrado en la gestión de ingeniería global, liderando equipos multifuncionales en múltiples zonas horarias y sitios en el extranjero. Jerry es un líder orientado a los resultados con una capacidad demostrada para implementar tecnologías de vanguardia, optimizar las operaciones de TI y garantizar el cumplimiento normativo.

Preguntas Frecuentes

¿Cómo funciona el phishing?

El phishing es una táctica utilizada por los ciberdelincuentes para engañar a las personas y que revelen información confidencial. Los atacantes a menudo se disfrazan de entidades de confianza a través de correos electrónicos, mensajes de texto o llamadas telefónicas. Pueden usar enlaces o archivos adjuntos maliciosos para engañar a las víctimas para que revelen credenciales de inicio de sesión, detalles económicos o información personal, que luego se pueden usar para actividades fraudulentas.

¿Cómo se puede identificar un ataque de phishing?

Para identificar un ataque de phishing, busca las siguientes señales:

Remitente sospechoso: comprueba si la dirección de correo electrónico o el número de teléfono del remitente parecen inusuales o ligeramente modificados de uno legítimo.
Solicitudes inusuales: desconfía de las solicitudes inesperadas de información confidencial, especialmente aquellas que crean una sensación de urgencia o amenaza.
Errores ortográficos y gramaticales: muchos mensajes de phishing contienen errores ortográficos o gramaticales notables.
Enlaces o archivos adjuntos sospechosos: coloca el cursor sobre los enlaces para comprobar su URL real antes de hacer clic y ten cuidado con los archivos adjuntos inesperados.
Saludos genéricos: los correos electrónicos de phishing suelen utilizar saludos genéricos como "Estimado cliente" en lugar de dirigirse a ti por tu nombre.

¿Cómo puedes protegerte del phishing?

Para protegerte de los ataques de phishing:

No fiarte: verifica la autenticidad de las comunicaciones inesperadas poniéndote en contacto directamente con la organización a través de los canales oficiales.
Utilizar software de seguridad: mantén actualizado tu software antivirus y antimalware.
Habilitar la autenticación multifactor (MFA): agrega una capa adicional de seguridad a tus cuentas con MFA.
Mantener el software actualizado: asegúrate de que tu sistema operativo y tus aplicaciones estén actualizados con los últimos parches de seguridad.
Informarte: mantente al día sobre las tácticas comunes de phishing y las mejores prácticas de seguridad.

¿Cómo se pueden detener los correos electrónicos de phishing?

Para detener los correos electrónicos de phishing:

Usas filtros de spam: configura tus ajustes de correo electrónico para filtrar los mensajes sospechosos.
Denunciar phishing: reenvía los correos electrónicos de phishing a la dirección de denuncia de abusos o phishing de tu proveedor de correo electrónico.
Cancelar suscripción: si recibes correos electrónicos de phishing de una fuente legítima de la que ya no deseas recibir noticias, usa el enlace para cancelar la suscripción (solo si tienes claro que es legítimo).

¿Cómo debes manejar los presuntos ataques de phishing?

Si sospechas de un ataque de phishing:

No hacer clic en enlaces ni descargar archivos adjuntos: evita interactuar con el mensaje sospechoso.
Reportar el incidente: notifica a tu departamento de TI o equipo de seguridad y reporta el intento de phishing a tu proveedor de correo electrónico o a las autoridades pertinentes.
Eliminar el mensaje: elimina el correo electrónico de phishing de tu bandeja de entrada para evitar interacciones accidentales.

¿Qué pasos debes seguir si respondiste a un correo electrónico de phishing?

Si respondiste a un correo electrónico de phishing:

Cambiar tus contraseñas inmediatamente: actualiza las contraseñas de las cuentas que puedan haberse visto comprometidas.
Supervisar tus cuentas: verifica si hay cualquier actividad inusual o transacciones no autorizadas.
Notificar a las partes relevantes: informa a tu departamento de TI, banco o cualquier otra organización afectada sobre la infracción.
Ejecutar un análisis de seguridad: utiliza software antivirus o antimalware para comprobar si hay posibles amenazas en tus dispositivos.