«

»

Feb 07

Artículo: Campañas de PHISING que intentan obtener las credenciales. Recomendaciones

Debido al  aumento de este tipo de ataques, os queremos realizar las siguientes recomendaciones:

En caso de recibir un mensaje de este tipo hay que eliminarlo directamente y comunicarlos a los demás empleados del intento de fraude y que, en caso de recibirlo, procedan a eliminarlo inmediatamente.

En el supuesto de haber facilitado las credenciales de acceso, es recomendable modificarlas lo antes posible, y siempre que se pueda habilitar un doble factor de autenticación. También se deben modificar estas credenciales en cualquier otro servicio en el que se utilicen las mismas.

Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda: (Fuente: INCIBE)

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegurarte de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

NUESTRAS RECOMENDACIONES ADICIONALES PARA EVITAR FUTUROS ATAQUES CIBERNÉTICOS O MINIMIZARLOS:

  1. Educación y concientización del personal: Asegurar que todos los empleados comprendan los riesgos y conozcan las mejores prácticas de ciberseguridad. Sería recomendable realizar auditorias internas para comprobar la concienciación de los empleados y la capacidad de respuesta.
  2. Actualización de software y hardware: Mantener todo el software y hardware actualizado con los últimos parches y actualizaciones de seguridad. Evitar SIEMPRE software no legítimo.
  3. Implementación de contraseñas fuertes y autenticación de dos factores: Implementando políticas de contraseñas fuertes y usando autenticación de dos factores para todas las cuentas.
  4. Copias de seguridad regulares: copia de seguridad periódica de los datos importantes en una ubicación segura en LOCAL y otra en la NUBE en caso de un ataque de Ransomware. En caso de tener aplicaciones que se ejecutan en local pero los datos se guardan en la NUBE del proveedor del aplicativo, asegurarse que se puede realizar con asiduidad, COPIAS EN LOCAL para posteriormente trasladarlas a equipos de almacenamiento externos independientes, evitando, que en caso de que se produzca un ataque al sistema de almacenamiento del proveedor, nosotros tengamos una copia de seguridad de los datos lo más reciente posible.
  5. Uso de software antivirus y firewall: Instalación y mantenimiento de software antivirus y un firewall para proteger contra software malicioso e intentos de piratería.
  6. Limitación del acceso a los sistemas y datos sensibles: Limitación del acceso a sistemas y datos sensibles solo a aquellos que lo necesitan.
  7. No hacer clics en enlaces o descargarse programas de páginas no confiables.

Como prevención adicional:

Contratar un equipo de Ciberseguridad o un servicio de consultoría: Contratar un equipo de expertos en ciberseguridad o un servicio de consultoría para ayudarlo a comprender los riesgos y desarrollar un plan integral de seguridad.

Contratar un seguro para Riesgos Cibernéticos. Podéis ver en este artículo qué amenazas cubre y qué tipo de riesgos debes analizar antes de contratar uno.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.