7 tips para proteger tu empresa contra el phishing

No quiero empezar este artículo alarmándote, pero hay algo importante que debes saber; un clic en un enlace de phishing puede acabar con el capital y la reputación de una empresa.

Si crees que tu empresa ya cuenta con herramientas para protegerse de un ataque vía phishing, ¿Estás seguro de esto? Las soluciones de seguridad de las empresas deben estar en constante mejora. Esto con el objetivo de complicar el trabajo de lo ciberdelincuentes y hacerlos invertir más tiempo y dinero para acceder a tu red corporativa.   

Muchas veces solo necesitan del factor humano para utilizar información de contacto, extraer credenciales de inicio de sesión de los empleados más despistados, y así dejar de preocuparse si tu empresa está en constante mejor o no.

Así que la tarea de protección no solo es técnica, sino también organizacional y humana. ¡Toma nota de estos tips y protégete!

Protege tu servidor de correo

Como sabes, el principal canal de ataque del phishing es el correo electrónico. Algunos navegadores y proveedores de correo cuentan con sus propios filtros de seguridad, pero los ciberdelincuentes ya les tienen bien tomada la medida y conocen las técnicas perfectas para evadirlos. No te confíes.

Como te mencione, el factor humano es clave. Evitar que los correos phishing lleguen a las bandejas de tus empleados es un punto de partida determinante. Te recomendamos utilizar una solución de seguridad a nivel de la puerta de enlace del correo que no solo verifique los enlaces en los correos entrantes, sino que también detecte las amenazas en los archivos enviados.

Protege tus servicios en la nube

Muchas empresas utilizan servicios en la nube, especialmente Microsoft Office 365. Si bien estas soluciones cuentan con sus propias tecnologías de seguridad, ¡no te confíes! Un atacante podría acceder a información confidencial o a detalles de contacto en One Drive o SharePoint, por ejemplo. Esto es muy frecuente.

Así tu empleado tenga la instrucción de revisar los mensajes minuciosamente, podría acabar haciendo clic en un enlace o reenviando un mensaje a los compañeros, sin querer o por prisa.  

Te recomendamos proteger tus servicios en la nube y asegúrate de que la solución también los proteja contra spam, phishing y que elimine los archivos adjuntos maliciosos.

Capacita a tus empleados

Cada día los atacantes se hacen más inteligentes para engañar a las personas. Existen gran variedad de trucos; desde enlaces maliciosos ocultos en los correos, troyanos adjuntos disfrazados de documentos, mensajes de texto engañosos y hasta llamadas.

El peligro es tal que en algunas ocasiones pueden atacar a través de un proveedor de hosting o una empresa afiliada si es que la cuenta de alguno de tus empleados se ha visto comprometida. Tus empleados deben ser capaces de detectar este tipo de contenido sospechoso.

La formación en materia de sensibilización de ciberseguridad puede venir de la mano de tu departamento de TI o de expertos externos.

Realizar pruebas

Posterior a esta capacitación o formación, no te confíes. Envía correos de prueba phishing a tus empleados y prueba sus conocimientos. No sólo les brindes información teórica, invítalos a que practiquen y se enfrenten a situaciones reales. Ponerlos a prueba también destacará a las personas y áreas que necesiten mejorar.

Comparte datos de contacto de expertos

Ahora que tus empleados ya tienen información teórica, práctica y que pueden detectar correos phishing a través de pistas visuales; dirección desconocida del remitente, logo erróneo, errores tipográficos, etc. Compárteles la información de contacto de los expertos para evaluar mensajes sospechosos en la guía de incorporación y de manera destacada en el portal corporativo.

Protege el entorno y los dispositivos móviles

Al mejor cazador, también se le va la liebre. Los enlaces de phishing pueden llegar desde cualquier canal; correo personal del empleado, aplicaciones de mensajería, etc. Todo estos son canales que tu sistema de seguridad quizá no detecte y controle.

Instala soluciones de seguridad en cada estación de trabajo conectada a internet. Si lo haces, cualquier enlace de phishing que llegue al objetivo y se haga clic en él, se bloqueará el redireccionamiento.

Es imposible que tu organización opere sin la ayuda de un dispositivo móvil. Los empleados los utilizan tanto para cosas básicas, como avanzadas. Los smartphones siempre han sido una amenaza para la seguridad corporativa, y ahora con el trabajo remoto, más.  

Ve un paso más allá

Como te dije anteriormente, los ciberdelincuentes no paran de crear nuevas estrategias, al grado en el que el profesional con más destreza pueda entregar claves de su correo u otra cuenta sin saberlo.  

Pero tranquilo, con algunos requisitos de sentido común, puedes garantizar que los atacantes obtengan la menor cantidad de información confidencial posible;

Activa la autentificación en dos pasos

Habilita la autentificación en dos pasos en todos los servicios corporativos. Con la 2FA activada, incluso aunque los atacantes descubran las credenciales para una cuenta corporativa o una contraseña de correo electrónico, no podrán acceder.

Solicita contraseñas únicas

Indica a los empleados que utilicen contraseñas únicas para cada servicio o dispositivo de trabajo. De esta forma, aunque los ciberdelincuentes se hagan con la contraseña, el resto de los recursos no estarán en riesgo.

Sigue el principio del mínimo privilegio

Si los empleados tienen derechos de acceso solo a los servidores, al almacenamiento en la nube y a otros bienes de valor que verdaderamente necesitan, los ciberdelincuentes no podrán causar mucho daño, aunque obtienen el control de una cuenta corporativa.