Fugas de información: Phishing y Ransomware

Ahora mismo nos encontramos con una evolución enorme de las aplicaciones web siendo utilizadas a diario por millones de personas. Éstas manejan gran cantidad de datos críticos de sus usuarios y esto conlleva a un riesgo, cada vez mayor, cuando son atacadas.

El atacante va a buscar diferentes formas para poder acceder. Si se encuentra un sistema bien fortificado, utilizará técnicas destinadas a obtener información sobre las personas (empleados) que están en contacto con el mismo.

La mayoría de los casos de fugas de información se producen por malas prácticas en el uso del correo electrónico.  Como podemos observar en la imagen el 76 % de infecciones de ransomware ha sido distribuido a través de phishing y campañas de spam.

http://globbsecurity.com/ransomware-cifras-38969/

http://globbsecurity.com/ransomware-cifras-38969/

Un ejemplo de las pérdidas que puede tener una empresa por culpa de phishing, es lo que le ocurrió a BitStamp. Durante semanas cinco empleados recibieron correos y mensajes por Skype, hasta que uno ellos se descargó un archivo adjunto que, al abrirlo, ejecutó un código malicioso y comprometió su equipo. A partir de ahí, los atacantes consiguieron la información necesaria para realizar el robo de más de 18000 bitcoints.

En este tipo de casos, es necesario entrenar a nuestro personal. En la actualidad, obtener correos de los empleados, recibir correos fraudulentos de posibles clientes, ofertas referentes a gustos personales, etc. es relativamente sencillo. A veces es complicado detectar los correos fraudulentos, incluso detectar una web clonada.

Actualmente, existe una campaña de phishing con la tarjeta de carrefour pass para robar las claves de acceso y  otra, aprovechando la campaña de la renta, para robar datos bancarios.

Es por ello que, desde SVT, creemos firmemente que es necesario realizar una formación de calidad y entendible para todos los empleados de una organización, ya que, ellos, son el eslabón más débil de la cadena y serán los primeros en recibir ataques.

Por este motivo, hemos creado un programa de formación que incluye campañas phishing ficticias y totalmente controladas, de manera que se puedan analizar los resultados y proponer un plan de mejora personalizado, que mitigue y reduzca los riesgos dentro de la organización.

Leave a Reply

You must be logged in to post a comment.