McAfee presenta prueba de Phishing a usuarios comerciales

MCAFEELOGOCROP1.jpg

Los ataques de «phishing» se presentan  a menudo en los enlaces más débiles de una defensa cibernética en la empresa — comportamiento humano — y continúan siendo exitosos. McAfee ha estado comprobando la habilidad de los usuarios comerciales para detectar phishing con la Prueba de Phishing (McAfee Phishing Quiz), que consiste en 10 mensajes de correo electrónico reales, en clientes de correo electrónico replicado. El cuestionario solicita a los encuestados, como si estuvieran mirando su propia bandeja de entrada, identificar cada muestra como un mensaje real o un intento de «phishing». Hemos identificado que el 80% de todos quienes realizaron la prueba han caído por lo menos en uno de los siete correos phishing contenidos en el cuestionario. Además, vimos que Contabilidad y Finanzas, y RRHH — que en muchos de los casos manejan los datos corporativos más sensibles — tuvieron el peor desempeño.

268493-avg-anti-virus-free-2012-phishing-blockedPuntos de datos clave

  •     16.000 usuarios comerciales fueron evaluados en su habilidad para detectar correos con phishing en la prueba McAfee Phishing Quiz de 10 preguntas.
  • Solo el 6% fue capaz de identificar todos los correos electrónicos como «phishing» o legítimos.
  • El 80% de los entrevistados cayó por lo menos en un correo electrónico de «phishing». Este dato es importante ya que sólo se necesita dar clic en 1 enlace para descargar el malware e infiltrarse en un negocio.
  • ¿Puntaje promedio? El 65% identificó correctamente los correos electrónicos.
  • No les fue a todos igual; mientras que algunos grupos se desempeñaron mejor que otros (TI 69%, I&D 69%), algunos fueron notablemente peores. De hecho, los departamentos con los datos más sensibles (RRHH 60%, contabilidad & finanzas 60%) tuvieron peor desempeño en la identificación de fraude en relación al resto.
  • En conjunto, el 88% de los entrevistados en estos dos departamentos (RRHH / Contabilidad & Finanzas) perdió al menos un correo electrónico fraudulento, comparado con un promedio de 79% por el resto de los departamentos auto-seleccionados.
  • En todo el mundo, el desempeño varió de acuerdo a la región. EMEA (Europa, Medio Oriente y áfrica) demostró ser la más hábil, con un promedio de 67% de aciertos.  NA (Norteamérica) tuvo un promedio del 66%, y LATAM (Latinoamérica) también un 66%. ¿Los menos preparados para detectar fraude? APAC (Asia Pacífico), con un puntaje promedio de 61%. De hecho, el 84% de los entrevistados de APAC perdieron por lo menos 1 correo electrónico con phishing, comparado con un promedio de 79% por el resto del mundo.
  • ¿Cuál fue el método en el que los participantes fueron más engañados? El de una dirección de correo electrónico falsa. El 63% de los entrevistados cayó en un correo electrónico con “phishing».

ciberdelincuencia en Perú

Consejos sobre phishing: Usuario final

  1. Mantenga actualizada la seguridad de su correo electrónico, web y endpoints. Aproveche las alertas de software al evaluar la seguridad del correo electrónico, los enlaces o las descargas.
  1. Incluso los remitentes de correo electrónico de confianza pueden verse comprometidos. Con más de 864 millones de registros de datos personales comprometidos a través de las violaciones de datos desde 2005, no siempre se puede garantizar que un correo electrónico de alguien que es de confianza sea legítimo. Podría tratarse de un estafador que se hace pasar por uno de sus compañeros de trabajo o amigos. De manera que antes de descargar contenido o seguir un enlace, verifique con el remitente que realmente le haya enviado el correo electrónico.
  1. Los colegas inocentemente pueden enviar enlaces o archivos infectados para descargar. Incluso si es realmente su colega quien envió el correo electrónico, hay una posibilidad que haya sido víctima de una infección, tenga su software de seguridad desactualizado o haya ignorado una alerta. Si su software de seguridad le advierte que el enlace o la descarga son maliciosos, no haga clic en el enlace ni descargue el contenido.
  1. Que un correo electrónico se vea bien no significa que sea legítimo. Cuidado con los correos electrónicos que están mal formateados o contienen errores ortográficos, especialmente los de las compañías bien conocidas. Sin embargo, tenga en cuenta que un correo electrónico que ‘se vea correcto’ no significa que sea oficial. El fraude de phishing inteligente puede verse prácticamente idéntico a los mensajes legítimos.
  1. Mientras que algunas direcciones de correo electrónico son evidentemente de un sitio de terceros falso, es fácil para los estafadores sofisticados generar una dirección de correo electrónico similar a un dominio legítimo. Tenga precaución y asuma que el correo electrónico podría ser un correo electrónico de phishing, incluso si el remitente parece legítimo.
  1. Al igual que las direcciones de correo electrónico, crear URL bastante convincentes es fácil para los estafadores sofisticados. Colocar el cursor sobre los enlaces de correo electrónico (manteniendo presionado en el móvil),  puede identificar falsificaciones evidentes, pero muchas URL falsas están hechas para que sean convincentes. Algunos softwares de seguridad pueden comprobar la seguridad de la URL, pero en caso de duda, utilice un motor de búsqueda para encontrar la URL real.
  1. La opción más segura es permanecer siempre atento, verificando los contenidos. Si hace clic en un enlace sin una herramienta de seguridad para analizar la URL en tiempo real, estará permitiendo que ese enlace lo lleve a donde quiera,  sea seguro o no. Los 10 segundos extras que lleva buscar un sitio por usted mismo valen la pena; puede ahorrarle a su empresa horas de reparación de dispositivos, proteger su información importante e incluso evitar el robo de identidad. Los terceros de confianza nunca le pedirán información privada o importante en un correo electrónico.

ciberdelincuencia en Perú

Consejos sobre phishing

  1. Eliminar campañas de phishing masivo con filtrado de correo electrónico de gateway seguro.
  1. Implementar la verificación de la identidad del remitente para reducir el riesgo de que los ciberdelincuentes sean confundidos con terceros de confianza.
  1. Detectar y eliminar archivos adjuntos maliciosos con antimalware avanzado.
  1. Escanear las URL de los correos electrónicos cuando se reciben y nuevamente cuando se hace clic en ellas.
  1. Escanear el tráfico web de malware cuando el phishing lleva al usuario a una infección a través de un recorrido de varios clics.
  1. Implementar la prevención de pérdida de datos para detener la filtración en el caso de una violación o entrada de usuario.
  1. Educar a los usuarios sobre las mejores prácticas en la detección y las acciones con respecto a los correos electrónicos sospechosos.
jtraverso

jtraverso

Juan Pablo Traverso, Ingeniero Civil Industrial y MBE de la Universidad de Chile.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top