10 nov. 2020
Ciberseguridad para Agentes y Corredores: Evite los fraudes por Phishing
Por Rafael Pelaez, Oficial de Seguridad de Información, Pan-American Life Insurance Group
Tiempo de lectura: 5 minutos, 16 segundos
Aunque la Ciberseguridad siempre ha sido importante, ahora más que nunca, es una prioridad urgente. Actualmente, todos estamos realizando más negocios en línea, y no es coincidencia que los ciberdelincuentes también lo estén haciendo.
En PALIG, hemos intensificado nuestras prácticas de ciberseguridad y continuaremos haciéndolo. Los agentes y corredores también juegan un papel crucial en la protección de la información personal de nuestros clientes mutuos, ya que usted interactúa directamente con dueños de póliza actuales y futuros a diario.
Los ciberdelitos cada vez más comunes incluyen suplantación de la identidad en línea, fraude por redes sociales, ciberacoso, extorsión cibernética, robo de identidad y acceso no autorizado a sistemas institucionales.
El Ransomware y el robo de información sensible, incluyendo Información de Salud Protegida (PHI) y Información de identificación personal (PII) constituyen algunas de las mayores amenazas que vemos hoy en día.
Para lograrlo, personas inescrupulosas tienden a explotar los vínculos y personas más débiles, y por lo tanto, tienden a empelar técnicas de ingeniería social, incluyendo fraudes por phishing (correo electrónico), vishing (llamadas telefónicas) y smishing (texto).
A medida que todos emprendemos una transformación digital continua, los ciberdelincuentes están desarrollando nuevos métodos de ataque. Muchas veces, estos métodos explotan los puntos débiles en procesos de actualización o el entorno de la nube. Sobra decir que es importante para todos nosotros mantenernos al día.
Además de las iniciativas de comunicación que PALIG ofrece a sus colegas, hemos lanzado una serie de blogs acerca de ciberseguridad, diseñada para usted, nuestros agentes y corredores. Le ofrecemos de manera periódica información actualizada acerca de las amenazas que vemos y, lo más importante, le brindamos estrategias para reducir su perfil de riesgo.
Para nuestro primer blog de esta serie, elegimos abordar el tema de fraudes de phishing por correo electrónico. Nuestro equipo de Seguridad de la información determinó que el phishing es uno de los vectores de ataque que tiene más posibilidades de encontrar cuando realiza un negocio en línea. Infortunadamente, los fraudes por phishing son cada día más sofisticados y convincentes. Este siempre atento y listo, no se convierta en una víctima.
Los fraudes por Phishing son cada vez más peligrosos
No hace mucho tiempo, los correos electrónicos de phishing eran relativamente fáciles de identificar debido a su gramática y ortografía deficiente, así como su contenido extraño (¿recuerda al acaudalado príncipe africano que le iba a legar parte de sus bienes?). Sin embargo, hoy en día, algunos correos electrónicos de phishing tienen una apariencia peligrosamente auténtica. Pueden parecer profesionales y estar relacionados con algunos de sus verdaderas actividades de negocios.
En resumen, los atacantes (phishers) usan tácticas comprobadas de ingeniería social para engañarlo y hacer que abra un adjunto o haga clic en un vínculo. Una vez lo haga, los ciberdelincuentes a menudo descargan un archivo malicioso en su PC o sistema, o bien acceden a sus credenciales.
Cómo identificar los correos electrónicos de Phishing
La mejor manera de frustrar los ataques a través de phishing es combinar controles técnicos sólidos (como software antimalware y antivirus) con cambios intencionados de comportamiento. Como regla de oro, asuma que todos los correos electrónicos externos son sospechosos, especialmente aquellos de procedencia desconocida.
Nunca acepte este tipo de correo electrónico por lo que está a simple vista. Examine cuidadosamente su apariencia y contenido. Además:
- Mantenga sus emociones bajo control. Los atacantes tratan deliberadamente de suscitar miedo y curiosidad para obligar a sus víctimas a abrir adjuntos o hacer clic en un vínculo malicioso.
- Busque errores gramaticales o tipográficos, uso inconsistente de mayúsculas, etc.
- Ponga mucha atención al nombre de dominio del remitente. Algunas veces, los atacantes modifican o abrevian ligeramente el nombre de un dominio de confianza para que parezca legítimo a simple vista.
- Examine los vínculos incrustados PASANDO LIGERAMENTE EL CURSOR (sin hacer clic) del ratón sobre los vínculos.
Esto puede revelar la URL verdadera. Si tiene duda de un vínculo, pero no está seguro, no haga clic en él. Mejor, contacte al remitente en un correo separado y verifique su autenticidad.
- Recuerde que, las compañías de renombre nunca le pedirán su contraseña o información personal.
- Tenga cuidado con correos no solicitados o textos que abordan eventos y temas actuales, como política, deportes y videos virales. Ahora mismo, la COVID-19 es un tema popular para los atacantes quienes pueden, incluso, hacerse pasar por los CDC u otras autoridades de salud.
- Incluya una etiqueta de correo externo que permita identificar fácilmente aquellos correos electrónicos que no vienen de su organización.
- Asegúrese de utilizar un filtro fuerte para spam para bloquear muchos correos spam y ataques de phishing no sofisticados.
Tenga cuidado con los ataques Spear Phishing con correos electrónicos
Aunque las campañas de phishing por lo general son ataques fraudulentos enviados a correo electrónicos de manera aleatoria, los ataques Spear Phishing a través de correo electrónico están dirigidos a personas o empleados específicos de organizaciones en particular. Estos son altamente específicos y personalizados, lo que hace que parezcan más genuinos.
Este tipo de ataques ha provocado que muchas organizaciones sufran de violaciones de datos. Los atacantes logran acceder sin autorización a sistemas de organizaciones cuando uno o más destinatarios hacen clic en un vínculo malicioso.
¿Cómo puede identificar un fraude por Spear Phishing? Busque las siguientes señales de alarma:
- Correos electrónicos que indican que su contraseña fue robada o necesita cambiarla.
- Correos electrónicos URGENTES que le piden hacer clic en un vínculo.
- Correos electrónicos de remitentes desconocidos.
- Correos electrónicos que le piden una trasferencia de dinero.
- Correos electrónicos con adjuntos encriptados.
Si recibe este tipo de correo, no se deje llevar por el miedo o la curiosidad. Esa es exactamente la intención de los atacantes. En cambio, cada vez que revise sus correos electrónicos, tenga en cuenta que una amenaza potencial está al acecho. Con el tiempo, los buenos hábitos de ciberseguridad se convertirán en una costumbre.
Estamos juntos en esto
Además de sus medidas individuales de ciberseguridad, recuerde que, proteger la valiosa información de nuestros asegurados es nuestra mutua responsabilidad. Ya que usted, junto a nuestros colegas, está en primera línea con el público, usted también es nuestra primera línea de defensa. Nuestros asegurados han depositado su confianza en nosotros cuando se trata de sus datos personales. Trabajemos juntos a diario para seguir mereciendo su confianza.
Sobre el autor: Rafael Pelaez es Vicepresidente y Oficial Principal de Seguridad de la Información. En este puesto, tiene a su cargo la dirección de nuestra estrategia de seguridad de la información para dar paso a nuevos esfuerzos en innovación, como la integración y migración a la nube. Asimismo, es responsable de lograr el equilibrio entre las medidas de seguridad y el crecimiento del negocio. Rafael tiene más de 20 años de experiencia en seguridad cibernética. Ha desempeñado puestos gerenciales en las áreas de Gestión de Riesgos y Seguridad Cibernética para E&Y. Anteriormente, también desempeñó destacados puestos de liderazgo en Pfizer, Accenture, Carrefour Group y Schneider Electric.