Panda Security, empresa líder en soluciones de ciberseguridad, asegura que, en el último cuarto del año, las organizaciones pueden observar un incremento exponencial de correos masivos que pueden contener campañas falsas para obtener datos de los empleados. Con El Buen Fin a la vuelta de la esquina (16 al 19 de noviembre) y el Black Friday (23 de noviembre), la actividad de compras en línea incrementa considerablemente y con ello los riesgos de una vulnerabilidad informática.
Si bien según el perfil demográfico del comprador en línea el 95% de la gente se conecta en sus hogares para comprar, el 58% lo hace desde su trabajo. Los ciberdelincuentes saben que, cuando tenemos prisa en realizar una compra porque ‘esta oferta está a punto de acabarse’, muchas veces no pensamos si navegamos de forma segura.
Los hackers usan mecanismos de ingeniería social, phishing (engaño para lograr conseguir datos personales), spear fishing (estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas), envían correos como si alguien de la empresa los mandara y dentro de esas campañas buscan extracción de información o inclusive tener un pie dentro de la organización.
En el primer semestre de este año el número de fraudes cibernéticos ascendió a 2 millones 74 mil 554, lo cual significa un crecimiento de 31 por ciento respecto del mismo periodo de 2017, cuando fueron un millón 578 mil, informó la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).
Inclusive, según la percepción de los compradores y no compradores sobre la iniciativa Buen Fin 2017, el 46% de los entrevistados dijo no haber comprado en línea en el buen fin por miedo a fraudes (a diferencia de 2016, la percepción de fraude se duplicó 21%). Sin embargo, estas cifras no impiden que las compras en línea incrementen cada año.
¿Cómo operan los ciberdelincuentes?
Los correos de phishing son muy bien elaborados. Llega un correo electrónico, aparentemente de una fuente confiable, que dirige al destinatario incauto a un sitio web falso con gran cantidad de malware. El ciberdelincuente puede intentar vulnerar las cuentas de banca en línea o hacer spam y phihsing con tiendas grandes de venta en línea.
Los empleados deben ser cautelosos ya que los hackers intentan diseñar o copiar la campaña del Buen Fin, al enviar un correo solicitando que se inscriban a la promoción.
“¿Cómo se pueden proteger? Está el factor tecnológico como tener buena protección de filtrado de correo electrónico que pueda analizar direcciones que sean suplantadas y que traigan links a vínculos maliciosos. También está el factor humano. Las organizaciones deben invertir esfuerzos en hacer un plan de concientización sobre como identificar correos apócrifos o mecanismos de ingeniería social que traten de engañarte”, dijo Shinué Salas, ingeniero de preventa para Panda Security en México.
Panda Cloud Email Protection puede ser una solución bastante efectiva para evitar este tipo de ataques, pues si un empleado es blanco de esas campañas, estas se filtran. El servicio detecta un correo como spam y lo almacena en la carpeta SPAM, desde la cual se podrán recuperar los correos que consideren clasificados incorrectamente.
A continuación, dejamos 7 tips para no vulnerar la información tanto de tu empresa como la personal:
- Contraseñas seguras. Muchos hackers cuentan con softwares capaces de adivinar contraseñas simples, en las que no se han usado mayúsculas y minúsculas, números y símbolos que no forman parte del abecedario. De hecho, son capaces de adivinar contraseñas como ‘el nombre de tu colegio’, ‘el nombre de tu perro’ o ‘la ciudad en la que naciste’ en cuestión de segundos. Inclusive a Mark Zuckerberg lo hackearon por usar una contraseña tan simple como “dadada”, así que nadie se escapa.
- Computadora actualizada. Asegúrate de actualizar tu sistema operativo, navegador y demás software con parches de seguridadpara minimizar las amenazas de virus y malware.
- Autenticidad del portal. Revisa los sellos de seguridad. Hay sellos que pueden funcionar como indicador de que un sitio es legítimo y seguro, por ejemplo los de la AMIPCI (Asociación Mexicana de Internet), pero hay sitios que insertan imágenes apócrifas de los sellos. Para cerciorarte de que son auténticos haz clic sobre ellos y te deberán desplegar un certificado de confianza.
- HTTPS. La ‘url’, para indicar que se trata de una dirección segura, debe comenzar con ‘https’—esmuy importante la ‘S’ final— y debe contener el nombre del sitio que se visita, ya que el diseño puede imitarse, pero la ‘url’ es única. Revisa también que en la parte inferior o superior derecha de la barra de estado tenga el ícono de un candado, esto te indicará que se trata de un sitio seguro.
- Pagos seguros. Un estudio llevado a cabo por investigadores de la Universidad de Newcastlerevela que la existencia de multitud de sistemas de pago online, con sus correspondientes medidas de seguridad, no sirve para garantizar la protección de los consumidores. Más bien todo lo contrario: muchas veces, por culpa de la variedad, se monta un auténtico galimatías que genera importantes vulnerabilidades.
- Red segura. Evita utilizar cibercafés o equipos compartidos. Al usarlos no tienes la certeza de que tengan instalados programas espías o algún tipo de virus. Lo ideal es hacerlo desde tu casa y cargar en tu equipo programas antivirus, firewall y antispyware para navegar seguro. También evita conectarte a redes Wi-Fi gratuitas.
- Limita la información en línea. Por lo general, en e-commerce nos piden mucha información personal antes de que realicemos una compra. De esta manera pueden saber dónde enviarnos los productos a casa. Sin embargo, hay datos como la fecha de nacimiento, el número del móvil y del fijo, detalles de tu ubicación a lo largo del día etc. que no son estrictamente necesarios para que puedan entregar tu compra.
Hay soluciones de seguridad como Panda Security que aseguran una navegación privada en aquellas páginas web que no tienen activados los protocolos de seguridad desde que ‘aterrizas’ en ellas. Por ello, y si no cuentas con un antivirus, es recomendable que te asegures de revisar las condiciones de seguridad bajo las que navega tu empresa.