Tras el parón de un año, por razones obvias (COVID mediante…) que tuvo el Marketing Rocks (ES), este 2022 Nadia nos volvió a invitar tanto a Èlia como un servidor a participar en su evento. Y por supuesto, aceptamos.
En 2020 ya había dado una charla sobre los 4 pilares de la presencia digital sana, centrándome en el uso de herramientas como el gestor de contraseñas, el 2FA y las VPNs.
Para esta ocasión, me pareció interesante dedicar la charla completa a las campañas de phishing, y por ello, en esa escasa media hora que teníamos cada ponente, intenté explicarle a la audiencia cómo protegerse de este tipo de fraudes.
¿Lo más gracioso de todo? Pues que envié el vídeo bien preparado, y pedí expresamente que me confirmaran de su recepción, cosa que hicieron.
Sin embargo, dos días antes del evento, y justo tres horas antes de salir yo de viaje, me avisan que no encuentran el vídeo. Yo, por supuesto, ya lo había borrado (hacía dos semanas de ello), así que me pongo con las prisas a grabarlo de nuevo, con tan mala suerte que se va la luz y el Internet del pueblo.
De verdad, pensé que era una broma. Hacía literalmente años, como comenté en la propia charla, que no ocurría algo así.
Después de esperar media hora y ver que no volvía, decidí grabarlo en el jardín y con el portátil, y dejarle un pendrive a Èlia para que cuando volviese Internet se lo enviase a la organización.
El resultado, pues oye, es una grabación donde la luz es la que es (la que había a primera hora del día en mi jardín) y el sonido es el que es (el que me da el micrófono integrado del portátil, con pajaritos revoloteando y piando de vez en cuando). Curioso cuanto menos :).
Pero contada esta anécdota, vamos al tema importante de este artículo.
La protección técnica frente al phishing: Apostar por la nube
Por no liarles demasiado la perdiz y hablar de IDS, anti-malware y compañía, para este tipo de eventos suelo recurrir a la recomendación que creo que mejor funciona tanto para usuarios, como para PYMEs, y es apostar por los ecosistemas en la nube.
Tanto GSuite de Google, como Office365 ofrecen una serie de herramientas para trabajar en solitario y en equipo que, sinceramente, minimizan muchísimo los riesgos de seguridad y reputación.
¿Que por qué? Pues ya lo expliqué por esta página en profundidad, pero podemos resumirlo en que:
- Bloquean la mayoría de campañas de phishing que llegan a nuestras bandejas de entrada: Marcándolas como SPAM, o directamente, como es en el caso de Google, no enviándote el email fraudulento en sí, sino simplemente una alerta de que tal remitente te ha enviado un correo que contenía archivos maliciosos. Gracias a ello, la posibilidad de que cualquiera de nosotros caiga en un timo de estos se reduce drásticamente.
- Cuenta con sistemas de almacenamiento en la nube que se pueden parametrizar fácilmente: De manera que en caso de que un trabajador sea víctima de un fraude, y siempre y cuando previamente se haya hecho una buena política de acceso a documentos, solo expondrá aquellas carpetas compartidas que requiere sí o sí para realizar su trabajo, y no todo el servidor, como suele ocurrir en entornos tradicionales no segurizados.
- En el caso de Google Drive, sus documentos son “inmunes” al ransomware: Más que nada porque además de contar con un sistema de copias de seguridad activo por defecto, pudiendo en cualquier momento volver a una versión anterior del documento o carpeta no comprometida (esto también lo incluye Office365), si trabajamos directamente los archivos en el ecosistema Google, al ser estos un mero acceso directo, no pueden ser cifrados.
La protección humana frente al phishing: Aprender a identificar las campañas
Por otro lado, no hay mejor herramienta frente a las campañas de phishing que saber identificarlas, y para ello les puse un ejemplo de un correo real que me llegó a mi, y los tres puntos que debes fijarte a la hora de identificar si es o no un fraude.
A saber:
- ¿Quién te lo envía? Si es alguien conocido o no, y si te lo está enviando solo a ti o a más personas en oculto.
- ¿Qué te envía? ¿Es un enlace a una página de terceros, o es un documento adjunto?
- ¿Es legítimo lo que te envía? Si es un enlace, ¿lleva a la página oficial? Y si es un documento, ¿viene con “regalo” (AKA es un malware)?
Todo esto lo repaso en profundidad en este tutorial para CyberBrainers:
El resto de la charla versó sobre las diferentes tipologías de campañas de phishing que existen en la actualidad.
Una recopilación de campañas que he estructurado a mi manera para charlas y formaciones, y en las que repasamos, uno a uno, ataques como los que ya hemos visto durante años por esta santa casa.
Otros timos que deberías conocer:
- 3 elementos que delatan a las campañas de phishing o fraude por email
- ¿Qué hacer en caso de haber sido víctima de un fraude?
- ¿Cómo recuperar el dinero que nos han robado?
- Cómo nos protegemos de los fraudes en Internet
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funciona el timo basado en la extorsión para no divulgar contenido de índole sexual/pornográfico
- Cómo funcionan los fraudes basados en SMSs Premium
- Cómo funcionan los fraudes de descarga de libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Cómo funciona la estafa del pellet
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funcionan las estafas de criptomonedas de tipo Rug Pull
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
En fin, un evento más en el que participo como ponente, intentando concienciar a una audiencia que no viene del mundo de la ciberseguridad sobre los riesgos digitales.
Con que tan solo uno o dos de los asistentes se queden con una ínfima parte de todo el contenido que les expliqué, ya doy por conseguido mi trabajo :).
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a “Las 7 de la Semana”, la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
