Proteger a sus Clientes contra el Phishing: ¡Es su Responsabilidad!

Gracias por Compartir

Por Ricardo Villadiego, CEO de Easy Solutions, la compañía de la Protección Total Contra el Fraude, y ahora parte de Cyxtera Technologies.

Son las 6pm del viernes y uno de sus clientes recibe un email aparentemente proveniente de su organización avisándole que su cuenta muestra actividad inusual y que se requiere el restablecimiento de su contraseña. Empleando mejores prácticas, el usuario verifica que la dirección de email efectivamente contiene el nombre de la organización, que el formato del mensaje es familiar y que el sitio web es el mismo de siempre. Así, el usuario procede a ingresar su contraseña anterior para confirmar su identidad y luego a ingresar una nueva como se le solicitó. Al llegar la mañana del lunes, un nuevo titular en las noticias capta su atención: su compañía y sus clientes han sido víctimas de un ataque masivo de phishing.

¿Cómo sucedió esto?

El phishing se basa en el arte del engaño. Mediante esquemas de ingeniería social, los atacantes se aprovechan de la curiosidad, las emociones, el miedo y la ingenuidad humana con el fin de manipular a sus víctimas potenciales. En el caso anterior, vemos cómo los criminales toman provecho de nuestro temor de ser afectados por una amenaza cibernética para abrir las puertas a su propio ataque. Mientras que en el phishing tradicional se envían emails a un amplio grupo de personas u organizaciones, el más reciente spear phishing apunta a individuos específicos dentro de una entidad. Estos ataques dirigidos, hoy en día más comunes y efectivos, involucran una investigación exhaustiva de sus posibles blancos. En 2016 se vio un incremento del 250% en los incidentes de phishing, con 13.000 nuevos sitios fraudulentos creados diariamente. Esto apunta a un número mucho mayor de ataques individuales creados y ejecutados por día. Si bien estos ataques son dirigidos a un número menor de personas, pueden llegar a ser mucho más rentables.

Para garantizar que personas como sus clientes caigan víctima de un esquema de phishing, los atacantes emplean estas cuatro tácticas psicológicas:

  1. Consistencia: Los criminales desarrollan familiaridad con la persona de quien tratan de obtener información. Un ejemplo de esto sería informar al usuario sobre una nueva política de seguridad para contraseñas. Más adelante, los atacantes contactan al usuario para verificar el cumplimiento con la supuesta nueva política y para saber qué contraseña fue la elegida.
  2. Reciprocidad: El atacante contacta al usuario (vía llamada, email o chat) para ofrecerle asistencia con algún problema. Después de suministrar la ayuda requerida, el criminal trata de hacer que el usuario corresponda al buen servicio prestado revelando cierta información sensible.
  3. Validación:En este escenario, un atacante llama a una persona y explica que trabaja para una compañía de la cual dicha persona es cliente. El atacante tratará de obtener validación preguntando si un importante email proveniente de la organización fue recibido. De esta forma, la persona creerá que se trata de un email legítimo y lo abrirá.
  4. Carencia: Ciertos emails de phishing advierten al usuario que, si no accede a cierto enlace, su cuenta asociada será deshabilitada.

El phishing es exitoso cuando logra manipular el componente humano de una organización. Muy a menudo, esto incluye a sus clientes en la estrategia criminal. Sin embargo, los atacantes causan daños que son mucho más grandes que un solo individuo, llegando a perjudicar el activo más importante de una compañía: su marca. Sin el monitoreo proactivo de los diversos vectores de ataque, ya sean sitios web, redes sociales, blogs, aplicaciones, etc., una organización puede estar poniendo a sus clientes y a su reputación en riesgo.

El phishing causa daño permanente a las marcas

Si bien la mayoría de las personas están de acuerdo con que el phishing y las brechas de datos tienen un serio impacto en las finanzas de una compañía, lo cierto es que los daños pueden ser mucho más grandes que las pérdidas monetarias iniciales.

En el 2016, los criminales utilizaron técnicas de phishing, hacking, malware y demás para robar cerca de 4.200 millones de registros de ciertas organizaciones, de las cuales el 81% perdieron clientes y sufrieron extensos daños a su reputación. El costo promedio de tales repercusiones fue de US$1.6 millones de dólares por cada organización.

Frecuentemente, estos incidentes son detectados cuando ya es demasiado tarde: en algunos casos por ejemplo son los mismos clientes quienes descubren el ataque. De ocurrir esto, los clientes no dudarán en llevar sus negocios a otras entidades por miedo a que sus credenciales queden en peligro de ser expuestas.

Aunque la mayoría de las campañas de phishing van dirigidas a individuos específicos, las principales consecuencias son sufridas por la organización, en especial su reputación, la cual recibe el peor daño. Una vez que la información de un ataque llega a los medios y redes sociales, la imagen de una marca se ve inmediatamente afectada. Las personas temen realizar negocios con la organización perjudicada y este miedo los lleva a perder confianza y a elegir un competidor que aparente ofrecer mayor seguridad. Además de los procesos jurídicos iniciados por los clientes, las compañías víctimas a menudo deben pagar multas por falta de cumplimiento en lo relacionado a la protección de la información.

En mi línea de trabajo, he tenido el infortunio de ver gran cantidad de fraudes, demasiados esquemas criminales y ataques cada vez más sofisticados que pueden llevar a masivas pérdidas financieras y de reputación. Es realmente doloroso ver que la protección anti-phishing y de marcas sea considerada como un “complemento ideal” o algo que se consigue como respuesta a una crisis. Lo cierto es que al final del día, el despliegue de medidas de seguridad anti-fraude para proteger su marca y sus clientes es su responsabilidad.

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *