Una de las amenazas de ciberseguridad más frecuentes es el phishing. Este es el término utilizado para identificar una estafa de robo de identidad diseñada para dirigirse a los usuarios desprevenidos de los métodos de comunicación electrónica, específicamente el correo electrónico y los mensajes de texto, y engañarlos para que proporcionen información personal o comercial sensible que puede ser utilizada para robar su identidad, asaltar sus cuentas bancarias y más. El objetivo del phishing es engañar al usuario para extraer datos personales sensibles.

¿Cómo se puede evitar el phishing?

Los ciberdelincuentes utilizan correos electrónicos y sitios web falsos de aspecto oficial con el objetivo de convencer a los usuarios de que proporcionen información. Por ello, en muchos casos los correos electrónicos y otras comunicaciones en línea pueden parecer procedentes de una fuente fiable. Esta técnica se conoce como email phishing. Por ejemplo, de la banca electrónica, de un procesador de pagos online como PayPal, de la Agencia Tributaria, de un organismo policial o incluso del departamento de informática de la empresa.

Debemos estar alerta de los correos recibidos de origen sospechoso, especialmente si adjuntan archivos o enlaces externos a páginas de inicio de sesión. No debemos abrirlos sin haber revisado todo su contenido. Varias buenas prácticas se recogen en el decálogo de medidas de seguridad en el correo electrónico (se ha añadido una medida más) para la empresa del INCIBE:

1 – Siempre tener cuidado al abrir correos electrónicos de remitentes desconocidos con documentos adjuntos. Debemos comprobar que la cuenta de correo del remitente no es falsa.

2 – Revisar las cabeceras de los correos. En las cabeceras hay datos que quedan ocultos a simple vista al recibir un correo:

  • La información relativa al emisor y al receptor,  
  • los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
  • el cliente de correo que se utilizó para enviarlo, y
  • la fecha de envío y recepción del email.

Para saber cómo acceder a las cabeceras de los correos, ya sea desde Gmail o Outlook en la web, desde Microsoft Outlook para Windows, o desde el cliente de correo Mail para Mac, haz click aquí.

3 – Siempre tener cuidado al hacer clic en enlaces incluidos en correos electrónicos de remitentes desconocidos.

4 – Instalar aplicaciones antimalware y activar los filtros antispam. Este filtro debe estar activado y configurado, y revisarse de forma continua. De esta manera, se evita que el empleado tome la decisión de abrir ficheros adjuntos o que haga clic en enlaces potencialmente peligrosos para él y para la empresa.

5 – Usar siempre contraseñas seguras. La política de seguridad de la empresa debe exigir que el empleado utilice siempre contraseñas robustas y las cambie periódicamente.

6 – Evitar utilizar el correo electrónico desde conexiones públicas. En una red pública no es posible controlar quien se conecta.

7 – Cifra el correo electrónico al enviar información confidencial. Con esto también ofreceremos una mejor imagen en cuanto al cuidado de la información por nuestra parte frente al destinario de la misma. Existen múltiples aplicaciones que permiten el envío de correos cifrados mediante PGP, por ejemplo Enigmail, GPG o la extensión de Google Chrome Mailvelope.

8 – No publicar direcciones de correo electrónico en la web de la empresa ni en sus redes sociales. Una vez obtenidas, comenzarían con el envío de correo basura. Es preferible la publicación de un formulario web que, a través de código, reenvíe el texto introducido en el formulario a una cuenta de correo electrónico.

9 – NUNCA responder al correo basura. Los spammers (individuos o empresas que envían spam – correo basura) solicitan a menudo respuestas respecto al contenido de sus mensajes, o incluso llegan a pedir el envío de un correo electrónico para evitar recibir más spam. Nunca se debe caer en estas trampas, porque con ellas estamos confirmando al spammer que la cuenta de correo está activa y que hay alguien leyendo el correo.

10 – Desactivar el HTML en las cuentas de correo críticas. Es recomendable la desactivación del formato HTML en el correo electrónico, al menos en las cuentas de correo críticas o que se encuentren a disposición del público para contactar con nuestra empresa. De esta manera no sería posible la visualización de correos electrónicos atractivos, pero este sería mucho más seguro.

11 – Utilizar la copia oculta (CCO) cuando se envíen direcciones a múltiples destinatarios. Cuando enviamos un correo electrónico este deja de estar bajo nuestro control desde el mismo momento que sale de nuestro ordenador. No sabemos si será reenviado o publicado por uno de los destinatarios, dejando así accesible no solo nuestra dirección de correo si no la de todos los destinatarios. Esta es la razón por la que siempre es recomendable la utilización de copia oculta para que las direcciones de tus contactos no sean visibles y puedan ser objeto de spam.

Fuentes: Pixel Privacy , INCIBE