Gran parte de las campañas de phishing operan explotando los nombres de empresas, marcas y productos conocidos. El objetivo que persiguen los criminales es hacer pensar a los usuarios que el mensaje inicial procede de una entidad legítima, aumentando así las probabilidades de que haga clic y pueda activar la descarga del malware. Por eso, las marcas más populares son también las más suplantadas.
Un reciente análisis sigue la evolución de las marcas que más utilizan los hackers en sus campañas de phishing. Los resultados señalan, por ejemplo, que los ataques que se hacen pasar por productos de Microsoft han experimentado un importante repunte durante la pandemia. De manera involuntaria, la multinacional ha pasado del quinto lugar al primero en este aciago ranking: en el tercer trimestre de 2020 un 19% de los intentos de phishing con marcas (brand phishing) en todo el mundo trataron de confundir a los usuarios haciéndose pasar por productos Microsoft, en comparación con el 7% del anterior.
Por detrás de Microsoft, DHL es la segunda empresa más suplantada (aparece en el 9% de los ataques de phishing analizados), con Google en tercer lugar. Los siguen PayPal y Netflix y, completando el top 10, están Facebook, Apple, WhatsApp, Amazon e Instagram. Los expertos atribuyen este ascenso de Microsoft al impulso del teletrabajo que se ha vivido durante la pandemia, debido a las restricciones a la movilidad. En cuanto a los canales, el phishing vía correo electrónico sigue siendo el más frecuente en el brand phising: representa el 44% de todos los ataques de este tipo. Por sectores, la industria más afectada por los ataques de phishing es la de la tecnología, seguida de la banca y las redes sociales.
Uno de los últimos ejemplos de esta tendencia fue una campaña de mails maliciosos identificada el pasado agosto. La estrategia de los atacantes era manipular a los destinatarios para que hicieran clic en un enlace de un correo electrónico que los dirigía a una falsa página de inicio de Microsoft. Varias iniciativas similares se dirigieron a empleados de diferentes empresas mediante correos electrónicos engañosos, que les pedían que renovasen sus credenciales de Microsoft Office 365.
Algunos consejos para evitar el phishing
Para proteger a los trabajadores y a las organizaciones de este tipo de amenazas, los expertos ofrecen los siguientes consejos:
- Aprende a identificar las amenazas. Hay ciertas características que pueden delatar un ataque a través de un correo electrónico, como los errores de formato o gramaticales, la mala ortografía o los saludos genéricos como “querido usuario” o “querido cliente”. Además, asegúrate de que los enlaces comiencen con https:// y no con http://.
- Evita compartir información. Como regla general, se recomienda compartir el mínimo indispensable de tus datos. Y nunca proporciones tus credenciales a terceros. Elimina los correos electrónicos sospechosos sin abrirlos y sin hacer clic en ningún enlace, o notifícalo al departamento de informática de tu empresa.
- No hagas clic en los archivos adjuntos. No abras archivos adjuntos en estos correos electrónicos sospechosos o extraños, especialmente los de Word, Excel, PowerPoint o PDF. Y desconfía de los mensajes que te hablan de una urgencia que requiere que compartas tus datos.
- Mantén tu equipo al día. Asegúrate de que todas las aplicaciones de tu teléfono móvil y tu ordenador tengan las últimas versiones de software. El uso de software desactualizado puede dejar puertas abiertas para que los hackers accedan a tu información personal.