Según el informe 2022 Cost of Data Breach Report de IBM, el uso de credenciales robadas o comprometidas a partir de estafas de phishing sigue siendo la causa más común de una violación de datos,
con un coste medio de las filtraciones de datos que pasó de 2,24 millones de dólares en 2021 a 4,34 millones en 2022.
Diferentes tipos de estafas de phishing por correo electrónico
El phishing se describió por primera vez en 1987. Desde entonces, ha evolucionado a medida que los ciberdelincuentes encuentran nuevas formas y tecnologías para explotar vulnerabilidades y robar información privada a través de correos electrónicos, mensajes de texto, anuncios, sitios web falsos y otros medios.
Dado que la mayoría de las estafas de phishing se realizan por correo electrónico, a continuación compartimos cinco de las estafas de phishing por correo electrónico más generalizadas:
- Estafas estándar de phishing por correo electrónico: Esta estafa, la más conocida, es un intento de robar información confidencial a través de correos electrónicos que parecen proceder de una organización legítima. Suelen enviarse por todas partes, sin dirigirse necesariamente a una persona.
- Estafas de phishing con malware: Estas estafas utilizan las mismas técnicas que una estafa de phishing por correo electrónico estándar, animando a los usuarios a hacer click en un enlace o descargar un archivo adjunto para instalar sin saberlo malware.
- Estafas de spear phishing: Mientras que las estafas de phishing estándar tienen un amplio alcance, las estafas de phishing con arpón tienden a estar bien estudiadas y están muy dirigidas a ejecutivos de empresas, personajes públicos, famosos y otros objetivos lucrativos.
- Estafas de phishing clónico: En un ataque de phishing de clonación, los ciberdelincuentes comprometen la cuenta de correo electrónico de una persona y realizan cambios en un correo electrónico existente, como cambiar un enlace legítimo o un archivo adjunto por uno malicioso, antes de enviarlo a los contactos de la persona.
- BEC (Business Email Compromise): Este tipo de ataque de phishing implica un correo electrónico falso que se envía desde alguien que parece estar en, o asociado con, una organización de confianza, y a menudo, solicitando una acción urgente. Según los informes, este tipo de estafa de phishing por correo electrónico ha causado casi la mitad de todas las pérdidas empresariales relacionadas con la ciberdelincuencia en 2019.
Consejos para detectar una estafa de phishing por correo electrónico
Por muy informado que estés, a medida que evolucionan la tecnología y las tácticas de la ciberdelincuencia -por ejemplo, mediante el uso de herramientas de IA como ChatGPT-, las estafas de phishing por correo electrónico son cada vez más inteligentes y difíciles de identificar. Estos son algunos consejos para detectar una estafa de phishing por correo electrónico:
- Exigencias de acción urgente. Los correos electrónicos tienden a exigir una acción inmediata con la amenaza de consecuencias negativas o pérdida de oportunidades. El objetivo es que el destinatario se precipite a actuar antes de darse cuenta de los defectos o incoherencias del mensaje.
- Mala gramática y ortografía. Aparte de alguna errata, los correos electrónicos de phishing suelen estar plagados de errores gramaticales y ortográficos.
- Un saludo desconocido. Los correos electrónicos enviados en estafas de phishing comienzan con un saludo o título desconocido que no se utiliza normalmente en la comunicación empresarial o en las conversaciones con colegas.
- Direcciones de correo electrónico, enlaces e incoherencias en los nombres de dominio. Si un correo electrónico sospechoso parece proceder de una organización que conoce, asegúrese de que la dirección de correo electrónico coincide con correos anteriores de la misma organización. También puede comprobar si un enlace de un correo electrónico es legítimo pasando el puntero del ratón sobre él.
- Archivos adjuntos sospechosos. El intercambio de archivos en el lugar de trabajo suele realizarse mediante herramientas de colaboración de confianza. Los correos electrónicos con archivos adjuntos deben tratarse siempre con desconfianza, sobre todo si tienen una extensión desconocida o asociada habitualmente a programas maliciosos, como .zip, .eve, .scr, entre otras.
Proteja su organización
Los riesgos cibernéticos, en particular las estafas de phishing por correo electrónico, suponen una amenaza real para su organización. Uno de los principales medios para protegerla es educar a los empleados sobre cómo detectar una estafa de phishing, al tiempo que se les instruye para que no abran correos electrónicos, hagan click en enlaces o descarguen archivos adjuntos, procedentes de fuentes no fiables, así como de fuentes que pueden parecer legítimas a primera vista, pero que en última instancia no lo son.
Dada la rápida evolución de los ciberdelitos y la tecnología, es necesario tomar medidas para evitar que tu dominio sea utilizado por los ciberdelincuentes en estafas de phishing por correo electrónico y otros ataques.
Un paso importante es garantizar el cumplimiento de DMARC, una norma mundial de ciberseguridad diseñada para impedir que los ciberdelincuentes suplanten las direcciones de correo electrónico de su organización.
Para otras sugerencias detalladas sobre cómo protegerse a sí mismo y a tu organización de las amenazas de la ciberdelincuencia, incluidas las estafas de phishing por correo electrónico, lee nuestra entrada de blog sobre las mejores prácticas de seguridad del correo electrónico en 2023: protege tu empresa y tus resultados.
Dado que el 91 % de los delitos informáticos comienzan con la suplantación de identidad, ahora es necesario que los usuarios y las organizaciones empleen varias capas de protección para protegerse de los ataques.
Si deseas más información sobre cómo puede ayudarte Sendmarc, ponte en contacto con nosotros hoy mismo.