La Perspectiva PALIG: Ciberseguridad para Agentes y Corredores: Evite los fraudes por Phishing

Aunque la Ciberseguridad siempre ha sido importante, ahora más que nunca, es una prioridad urgente. Actualmente, todos estamos realizando más negocios en línea, y no es coincidencia que los ciberdelincuentes también lo estén haciendo.

En PALIG, hemos intensificado nuestras prácticas de ciberseguridad y continuaremos haciéndolo. Los agentes y corredores también juegan un papel crucial en la protección de la información personal de nuestros clientes mutuos, ya que ustedes interactúan directamente con dueños de póliza actuales y futuros a diario.

Los ciberdelitos cada vez más comunes incluyen suplantación de la identidad en línea, fraude por redes sociales, ciberacoso, extorsión cibernética, robo de identidad y acceso no autorizado a sistemas institucionales.

El Ransomware y el robo de información sensible, incluyendo Información de Salud Protegida (PHI) y Información de identificación personal (PII) constituyen algunas de las mayores amenazas que vemos hoy en día.

Para lograrlo, personas inescrupulosas tienden a explotar los vínculos y personas más débiles, y por lo tanto, tienden a emplear técnicas de ingeniería social, incluyendo fraudes por phishing (correo electrónico), vishing (llamadas telefónicas) y smishing (texto).

A medida que todos emprendemos una transformación digital continua, los ciberdelincuentes están desarrollando nuevos métodos de ataque. Muchas veces, estos métodos explotan los puntos débiles en procesos de actualización o el entorno de la nube. Sobra decir que es importante para todos nosotros mantenernos al día.

Además de las iniciativas de comunicación que PALIG ofrece a sus colegas, hemos lanzado una serie de blogs acerca de ciberseguridad, diseñados para ti, nuestros agentes y corredores. Te ofrecemos de manera periódica información actualizada acerca de las amenazas que vemos y, lo más importante, te brindamos estrategias para reducir tu perfil de riesgo.

Para nuestro primer blog de esta serie, elegimos abordar el tema de fraudes de phishing por correo electrónico. Nuestro equipo de Seguridad de la información determinó que el phishing es uno de los vectores de ataque que tienes más posibilidades de encontrar cuando realizas un negocio en línea. Infortunadamente, los fraudes por phishing son cada día más sofisticados y convincentes. Mantente siempre atento y listo, no te conviertas en una víctima.

Los fraudes por Phishing son cada vez más peligrosos

No hace mucho tiempo, los correos electrónicos de phishing eran relativamente fáciles de identificar debido a su gramática y ortografía deficiente, así como su contenido extraño (¿recuerda al acaudalado príncipe africano que le iba a legar parte de sus bienes?). Sin embargo, hoy en día, algunos correos electrónicos de phishing tienen una apariencia peligrosamente auténtica. Pueden parecer profesionales y estar relacionados con algunos de tus verdaderas actividades de negocios.

En resumen, los atacantes (phishers) usan tácticas comprobadas de ingeniería social para engañarte y hacer que abras un adjunto o hagas clic en un vínculo. Una vez lo hagas, los ciberdelincuentes a menudo descargan un archivo malicioso en tu PC o sistema, o bien acceden a tus credenciales.

Cómo identificar los correos electrónicos de Phishing

La mejor manera de frustrar los ataques a través de phishing es combinar controles técnicos sólidos (como software antimalware y antivirus) con cambios intencionados de comportamiento. Como regla de oro, asume que todos los correos electrónicos externos son sospechosos, especialmente aquellos de procedencia desconocida.

Nunca aceptes este tipo de correo electrónico por lo que está a simple vista. Examina cuidadosamente su apariencia y contenido. Además:

Mantén tus emociones bajo control. Los atacantes tratan deliberadamente de suscitar miedo y curiosidad para obligar a sus víctimas a abrir adjuntos o hacer clic en un vínculo malicioso.
Busca errores gramaticales o tipográficos, uso inconsistente de mayúsculas, etc.
Pon mucha atención al nombre de dominio del remitente. Algunas veces, los atacantes modifican o abrevian ligeramente el nombre de un dominio de confianza para que parezca legítimo a simple vista.
Examina los vínculos incrustados PASANDO LIGERAMENTE EL CURSOR (sin hacer clic) del ratón sobre los vínculos. Esto puede revelar la URL verdadera. Si tienes duda de un vínculo, pero no estás seguro, no hagas clic en él. Mejor, contacta al remitente en un correo separado y verifica su autenticidad.
Recuerda que, las compañías de renombre nunca te pedirán su contraseña o información personal.
Ten cuidado con correos no solicitados o textos que abordan eventos y temas actuales, como política, deportes y videos virales.
Incluye una etiqueta de correo externo que permita identificar fácilmente aquellos correos electrónicos que no vienen de tu organización.
Asegúrate de utilizar un filtro fuerte para spam para bloquear muchos correos spam y ataques de phishing no sofisticados.

Ten cuidado con los ataques Spear Phishing con correos electrónicos

Aunque las campañas de phishing por lo general son ataques fraudulentos enviados a correo electrónicos de manera aleatoria, los ataques Spear Phishing a través de correo electrónico están dirigidos a personas o empleados específicos de organizaciones en particular. Estos son altamente específicos y personalizados, lo que hace que parezcan más genuinos.

Este tipo de ataques ha provocado que muchas organizaciones sufran de violaciones de datos. Los atacantes logran acceder sin autorización a sistemas de organizaciones cuando uno o más destinatarios hacen clic en un vínculo malicioso.¿Cómo puedes identificar un fraude por Spear Phishing? Busca las siguientes señales de alarma:

Correos electrónicos que indican que tu contraseña fue robada o necesitas cambiarla.
Correos electrónicos URGENTES que te piden hacer clic en un vínculo.
Correos electrónicos de remitentes desconocidos.
Correos electrónicos que te piden una trasferencia de dinero.
Correos electrónicos con adjuntos encriptados.

Si recibes este tipo de correo, no te dejes llevar por el miedo o la curiosidad. Esa es exactamente la intención de los atacantes. En cambio, cada vez que revises tus correos electrónicos, ten en cuenta que una amenaza potencial está al acecho. Con el tiempo, los buenos hábitos de ciberseguridad se convertirán en una costumbre.

Estamos juntos en esto

Además de tus medidas individuales de ciberseguridad, recuerda que, proteger la valiosa información de nuestros asegurados es nuestra mutua responsabilidad. Ya que tú, junto a nuestros colegas, estás en primera línea con el público, eres nuestra primera línea de defensa. Nuestros asegurados han depositado su confianza en nosotros cuando se trata de sus datos personales. Trabajemos juntos a diario para seguir mereciendo su confianza.

Para conocer las soluciones disponibles para tus clientes,

Sobre el autor: Rafael Pelaez es Vicepresidente y Oficial Principal de Seguridad de la Información. En este puesto, tiene a su cargo la dirección de nuestra estrategia de seguridad de la información para dar paso a nuevos esfuerzos en innovación, como la integración y migración a la nube. Asimismo, es responsable de lograr el equilibrio entre las medidas de seguridad y el crecimiento del negocio. Rafael tiene más de 20 años de experiencia en seguridad cibernética. Ha desempeñado puestos gerenciales en las áreas de Gestión de Riesgos y Seguridad Cibernética para E&Y. Anteriormente, también desempeñó destacados puestos de liderazgo en Pfizer, Accenture, Carrefour Group y Schneider Electric.