Los ciberataques ‘whaling’ aumentan un 200%

Al igual que los ciberataques de suplantación de identidad, el whaling es una técnica muy pensada por los ciberdelincuentes que tiene más de ingeniería social que de trucos tecnológicos.

Para llevarla a cabo, emplean métodos muy sofisticados como, por ejemplo, la utilización de un lenguaje muy cuidado, detalles de la compañía, datos específicos de la víctima extraídos de sus perfiles sociales… La persona que recibe el e-mail confía en el emisor y sigue sus indicaciones.

En los correos electrónicos tipo whaling, se suele incorporar el logo de la compañía para que el e-mail resulte fiable y creíble. Además, se intenta emplear el mismo tipo y tamaño de fuente que usa el destinatario. Normalmente, los ciberdelincuentes piden completar un ‘informe adjunto’ que, en realidad, es un malware o descargar un software adicional para abrir un texto o programa.

Lo más preocupante es que, según el proveedor de seguridad cibernética SmartTech 247, el número de estos ataques se triplicó en 2017 y se extendió a empresas todos los tamaños.

¿Cómo se pueden prevenir?

El whaling juega con algo muy importante: cualquier empleado o alto cargo que reciba un e-mail de la junta directa o gerente responderá al correo o ejecutará el trabajo que se pide en él. Dado el método tan depurado que siguen los ciberdelincuentes, en muy pocos casos se percibe que el mensaje es falso e, incluso si se duda, en raras ocasiones se pregunta de viva voz al responsable antes de actuar. Es importantísimo estar segur@ de que el contenido del mensaje es verídico, de lo contrario estamos entregando información confidencial a los ciberdelincuentes.

Otro de los recursos habituales en esta caza de ballenas es añadir la palabra ‘urgente’ en el asunto del e-mail. Si esto ocurre, hay que plantearse: ¿se ha hablado con el emisor del correo sobre este tema? Si la respuesta es afirmativa, ¿qué nivel de urgencia expresó el alto cargo en la reunión?

El mejor consejo es siempre preguntar ante la más mínima duda a la persona en cuestión. No se debe continuar ninguna tarea sin estar 100% convencid@ de ello. Por otro lado, es bueno tener en mente -y aplicar- las pautas de prevención del phishing, por ejemplo, fijarse muy bien en la firma, cuestionarse el tipo de archivo adjunto o tomarse el tiempo necesario para examinar el e-mail.

Proteger la información de la compañía es fundamental para el buen funcionamiento de la organización, así como para mantener una buena reputación empresarial. La mejor manera de conseguirlo es con el trabajo de todos los empleados, por lo que la formación del personal es una práctica clave.

Si salvaguardar los datos personales ha sido siempre algo fundamental, la llegada del Reglamento General de Protección de Datos (RGPD) el pasado 25 de mayo ha elevado  esta tarea a algo imprescindible.

Si aún no sabes cómo poner en marcha la nueva normativa de protección datos o no conoces tus derechos como ciudadan@ o responsabilidades como trabajador, te recomendamos echar un vistazo a nuestro libro verde ecológico sobre el Reglamento.

Descarga gratis tu guía RGPD >>

2 comentarios

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.