¿Cómo proteger nuestra oficina de ataques cibernéticos?
En los últimos años, los ataques cibernéticos han crecido. El FBI en el año 2023 recibió 880,418 denuncias de ataques cibernéticos y para el año 2024, 859,532 denuncias, lo que resultó en pérdidas por 12 mil millones USD en el 2023 y $16.6 mil millones USD en el 2024 (incremento del 33% respecto a 2023):
Principales tipos de ataques cibernéticos reportados:
Tipo de ataque |
Cantidad de reportes 2023 | 2024 |
Phishing / Suplantación |
298,878 | 193,407 |
Violación de datos personales |
55,851 | 64,882 |
Estafas en compras |
50,523 | 49,572 |
Extorsión |
48,223 | 86,415 |
Suplantación de soporte técnico |
37,560 | 36,002 |
El phishing sigue siendo el método de ataque cibernético más común y representa una amenaza para empresas y usuarios. Este tipo de ataque es peligroso porque apela a la confianza y descuido humano, lo que es difícil de controlar con tecnología únicamente.
Se nota un incremento importante en el año 2024 en relación a denuncias de violación de datos personales y extorsión lo que nos obliga a repensar cómo debemos proteger los datos corporativos.
¿Qué es el phishing?
El phishing es una técnica en donde los atacantes, a través de correos falsos o mensajes engañosos. El objetivo es obtener información confidencial como claves, datos bancarios o números de tarjetas de crédito. También pueden incluir archivos que, al descargarse o ejecutarse, instalan malware en los dispositivos, brindando a los hackers acceso remoto a sistemas sensibles.
Con la evolución de herramientas de IA como ChatGPT, los ataques de phishing se han vuelto más sofisticados. En el pasado, los errores ortográficos o gramaticales eran señales evidentes de estos correos fraudulentos. Sin embargo, hoy en día los atacantes pueden generar mensajes claros y profesionalmente redactados, lo que los hace mucho más difíciles de detectar.
¿Cómo identificar un correo de phishing?
Para protegernos se debe analizar con cuidado cualquier correo sospechoso siguiendo estas recomendaciones:
-
Verifique el remitente:
-
- Asegúrese de que el dominio del correo sea el oficial. Por ejemplo, un dominio fraudulento como admin@inaisnd1231-13213.com o uno con pequeñas alteraciones como juan.torres@renovacionit.com (en lugar de juan.torres@renovationit.com) podría ser una señal de phishing.
-
Observe a quién va dirigido:
-
- Los atacantes se dirigen a personas que manejan información confidencial, como datos financieros o personales. Manténgase alerta ante cualquier solicitud no esperada.
-
Links y archivos adjuntos:
-
- Evite hacer clic en enlaces que llegan a su correo. En su lugar, ingrese manualmente a la página oficial. También desconfíe de adjuntos como «facturas» o «recibos» que no esperaba recibir.
-
Revise el contenido del correo:
-
- Los correos fraudulentos suelen crear un sentido de urgencia o apelan a ofertas «demasiado buenas para ser verdad». Si duda, verifique directamente en la fuente oficial.
¿Cómo protegernos frente al phishing?
-
No utilice cuentas con permisos de administrador
-
- No utilice cuentas con permisos de administrador para tareas cotidianas. Esto limita los daños en caso de que su dispositivo sea comprometido.
-
Evite interactuar con remitentes desconocidos:
-
- No descargue archivos ni ingrese a enlaces de correos de fuentes desconocidas.
-
Manténga su software al día:
-
- Actualice su sistema operativo y las aplicaciones que usa. Esto reduce el riesgo de que los atacantes aprovechen vulnerabilidades conocidas.
-
No comparta información confidencial por correo:
-
- Evite enviar contraseñas, datos bancarios o información sensible a través de correos, incluso si el remitente parece confiable.
-
Confirme solicitudes por otros medios:
-
- Si recibe un correo sospechoso que pide información o acciones puntuales, verifique la fuente de la solicitud a través de otros canales, como una llamada o un mensaje directo a la fuente oficial.
Proteger nuestra oficina y sistemas contra ataques cibernéticos requiere un enfoque que combina educación, buenas prácticas y herramientas de seguridad. Mantenernos alertas y seguir estos consejos puede marcar la diferencia entre ser una víctima más o mantener nuestra información y sistemas a salvo.
Si sospecha que su organización podría estar expuesta a ataques cibernéticos o desea fortalecer sus defensas para proteger sus datos y operaciones críticas, contáctenos.
Revise en la sección de recursos nuestro healthcheck de seguridad de servidores y nuestro proceso de auditoría de sistemas operativos y de base de datos que pueden ser un punto de partida para garantizar la seguridad en su organización.