Buscar
Cerrar este cuadro de búsqueda.

Los 10 mandamientos para evitar el “phishing” y reconocer el “correo malicioso”

Desde AEDHE, recomendamos tener unos hábitos preventivos a la hora de utilizar las herramientas tecnológicas. En internet, todos estamos expuestos a que un “troll” nos engañe haciéndose pasar por otro y obtenga de la empresa y de los distintos departamentos información privada o personal. El nombre que se le ha dado a esta práctica es “Phishing.

El término phishing viene del verbo “pescar” en inglés. En esencia, el phishing es simplemente cuando un usuario malicioso envía un correo para ver si “caemos en la trampa” y le damos información sensible “sin querer”. 

¿CÓMO RECONOCER UN CORREO PARA EVITAR PHISHING?

Por lo general, los atacantes intentarán hacerse pasar por una persona de confianza, o de gran relevancia en la empresa, como el CEO, por lo que el correo parecerá enviado como “confiable y predispuesto a ser leído”, con los logos oficiales de la empresa o con enlaces a webs que visualmente son iguales a la de las empresas reales. 

Este tipo de correos maliciosos tienen rasgos comunes, que indicamos a continuación:

  • Suelen intentar mover al usuario a realizar una acción indicando que ha habido un problema con una cuenta y ofrecen un enlace para recuperar la contraseña.
  • Utilizan nombres y adoptan la imagen de empresas reales. Cuidado, a veces “los piratas” no son tan detallistas y el correo puede darnos pistas deque es un “fake”.
  • Como gancho utilizan regalos o incluyen ficheros adjuntos con extensiones ejecutables (.exe) o aplicaciones que debes instalar en tu equipo para evitar el “apocalipsis zombie” de la ignorancia. 
  • El correo tiene una alta urgencia indicándonos que algún periodo de caducidad para tener disponible la información.
  • El phishing no sólo se produce por correo electrónico. A veces podemos recibir una llamada de alguien diciendo que es de una empresa conocida, y/o que le demos nuestra clave de cliente o proveedor para comprobar un problema con la cuenta. O incluso para conseguir el “descuento del siglo”.

Por tanto, para prevenir lo máximo posible y evitar “sustos”, facilitamos los diez mandamientos para evitar ser víctima de este engaño.

1.- Evitarás dar datos personales sobre todas las cosas

Nunca -insistimos- NUNCA des datos personales por correo (o teléfono), especialmente contraseñas u otra información sensible.

2.- No tomarás el remitente del correo en vano

En un ataque de phishing el remitente intenta hacerse pasar por alguien de confianza, pero con un poco de atención es posible identificar “pistas” de que nos enfrentamos ante un posible ataque.

  • Verifica que el correo es de confianza viendo la dirección de correo del remitente, no te quedes sólo con el nombre que muestra.
  • Presta mucha atención a cómo está escrito el remitente del correo
  • Presta aún más atención al nombre del dominio y los enlaces.

3.- Desactivarás la previsualización de elementos en clientes de correo

Es aconsejable que accedas al correo electrónico siempre desde su plataforma propia. De esta manera, no te descargas nada en tu equipo sin que previamente hayas hecho un click explícito. Si usas un cliente de correo -una plataforma como Outlook, por ejemplo- comprueba que tienes un antivirus y en la medida posible desactiva las opciones de descarga automática de imágenes y adjuntos.

4.- No clickarás en nada sin revisarlo antes

Aunque el enlace que puedes ver parezca correcto no te fíes. Mueve antes el ratón sobre el enlace y mira qué pone en la barra inferior del navegador: ahí podrás ver la verdadera dirección del enlace. 

5.- No consentirás faltas de ortografía

Parece mentira, pero muchas veces los ataques de phishing contienen errores ortográficos graves, en parte por los “errores de traducción”, de un sistema automatizado o de una persona. Insistimos, “estate pendiente de esas pequeñas PISTAS”.

6.- No cometerás errores por hacer algo con prisa

Una técnica común de los correos de phishing es pedirle al usuario que realice una acción de forma inmediata y urgente, generalmente aduciendo que hay un tiempo límite para llevar a cabo una acción, tal y como hemos indicado anteriormente. Ante el phishing  evita las acciones precipitadas. Revisa siempre.

7.- (Ante la duda) Preguntarás al remitente o al especialista informático de tu empresa

Si recibes un mensaje de correo sospechoso, aunque sea de una dirección bajo un dominio conocido, pregunta al profesional especialista en el mundo digital. Este mandamiento es especialmente importante si el correo te pide que realices alguna acción como entrar en un enlace en concreto o enviar tu contraseña.

8.- No escribirás tu contraseña o datos personales en servidores no cifrados

Si has entrado en un enlace y la página que te pide introducir información personal no empieza por https://…desconfía. La “s” final indica que es un servidor seguro que utiliza encriptación para transmitir tu información personal. Si pulsas sobre el candado en el navegador puedes ver más información sobre el sitio para garantizar que es quien dice ser.

9.- Dudarás sobre todas las cosas

En el mundo real, si aparece un desconocido por la calle y te pregunta “dónde vives”, la primera reacción que tengas es la de “desconfianza”. En el mundo digital, esta desconfianza debe triplicarse, porque internet facilita al límite máximo “el anonimato”. Toma buena nota.

10.- No instalarás nada que venga por correo

Nunca instales nada que venga en un correo y QUE NO SEPAS exactamente QUÉ HACE. Sobre todo, si no tienes clara la procedencia del correo. No tocar es la mejor manera de mantener el equipo seguro. En caso de duda, recuerda preguntar a los especialistas informáticos.

Para más información sobre ciberseguridad contactar con el Área de Innovación de AEDHE a través del correo electrónico innovacion@aedhe.es

Fuente: medios de comunicación (Newtral)

¡Descárgate el eBook!

Por qué tu PYME debe digitalizarse ya

El contexto actual ha supuesto un cambio en la mentalidad económica global ¿Aún crees que tu empresa no debe digitalizarse? En AEDHE te explicamos por qué tu PYME debe digitalizarse ya.