Múnich (ots) – Para muchos, la época navideña es la más especial del año, pero lamentablemente también lo es para los ciberdelincuentes. Mientras las empresas se centran en el cierre fiscal y los empleados están inmersos en el espíritu de las fiestas y los regalos, los atacantes planean ataques dirigidos. Sören Schulte, experto en seguridad del correo electrónico de Retarus, explica a los responsables de TI en qué deben prestar atención para defenderse con éxito del phishing, el fraude al CEO y otras estafas.
Tradicionalmente, la época navideña se considera temporada alta para los ciberdelincuentes. Los atacantes aprovechan la recta final del año y los patrones de comunicación estacionales para implementar campañas de ingeniería social y phishing especialmente convincentes en el ámbito B2B. Las ausencias por vacaciones, un alto volumen de comunicaciones de RR. HH. y finanzas, así como la avalancha de notificaciones de paquetes, crean condiciones ideales para los atacantes. Los siguientes cinco puntos muestran dónde se encuentran los mayores peligros y cómo las empresas pueden protegerse eficazmente:
1. Definir procesos de aprobación claros
En Navidad, muchos empleados están ausentes, por lo que las tareas son asumidas por suplentes y los equipos a menudo deben trabajar con personal reducido. Esto conduce a interrupciones o debilitamientos en la comunicación interna y en los flujos de aprobación. Este es un caldo de cultivo ideal para el Business Email Compromise (BEC), también conocido como fraude al CEO. Los atacantes imitan a superiores, proveedores o departamentos financieros y presionan, bajo pretextos, para que se realicen transferencias rápidamente o se divulguen datos confidenciales.
Consejo: Defina reglas claras de sustitución y aprobación que también sean válidas durante las vacaciones. El principio de cuatro ojos debe aplicarse de forma consistente, incluso en los casos que parezcan urgentes. Además, utilice soluciones avanzadas de seguridad del correo electrónico con funciones de protección BEC dedicadas y una detección de phishing basada en algoritmos de IA que identifiquen patrones de comunicación sospechosos.
2. Sensibilizar a los empleados sobre temas de RR. HH.
Temas como las vacaciones restantes, las nóminas, la información sobre los cambios fiscales o las cotizaciones de la seguridad social son más frecuentes a finales de año. Según Retarus, los atacantes utilizan precisamente estos temas como cebo para ataques de phishing dirigidos. Los correos electrónicos que parecen provenir del departamento de recursos humanos y que solicitan hacer clic en un enlace o abrir un archivo adjunto tienen una tasa de éxito especialmente alta en esta época.
Consejo: Sensibilice a su personal sobre el hecho de que la información relacionada con RR. HH. nunca requiere la introducción de contraseñas ni el envío no solicitado de documentos personales. En caso de duda, una breve llamada al departamento de recursos humanos aclarará la situación. Técnicamente, una protección integral contra el phishing con mecanismos como la protección Time-of-Click (reescritura de URL) y los componentes de IA, que están especialmente entrenados para detectar patrones de phishing y también analizan archivos adjuntos como formularios, ofrece protección.
3. Supervisar los regalos, vales y entregas de paquetes
Ya sean acciones de regalos internas, incentivos para empleados o la entrega privada de paquetes en la oficina, en diciembre aumenta significativamente el número de mensajes reales y falsos sobre vales, entregas de paquetes o promociones de bonificación. Los ciberdelincuentes aprovechan esto para ocultar enlaces maliciosos en notificaciones de envío falsas u ofertas fraudulentas en correos electrónicos que contienen supuestos vales.
Consejo: Establezca reglas internas claras sobre cómo se comunica a través de los programas oficiales de regalos o bonificaciones. Aconseje a los empleados que tengan extrema precaución con los correos electrónicos que contengan enlaces de seguimiento de paquetes o vales sospechosos, que nunca hagan clic en enlaces precipitadamente y que informen inmediatamente a los departamentos de TI sobre los mensajes sospechosos.
4. Establecer mecanismos antifraude
A finales de año, las aprobaciones de presupuesto, los procesos de facturación y el cierre de proyectos están en pleno apogeo en muchas empresas, ya que a menudo también finaliza el año fiscal. Los ciberdelincuentes aprovechan este estrés para introducir facturas, recordatorios de pago o solicitudes de pago falsas en los procesos en curso. Un clic descuidado puede provocar importantes pérdidas financieras.
Consejo: Implemente mecanismos antifraude sólidos y automatice la verificación de facturas siempre que sea posible. Las modernas plataformas de seguridad del correo electrónico pueden analizar archivos adjuntos sospechosos en un entorno de sandbox para detectar malware oculto antes de que llegue a la bandeja de entrada del empleado.
5. Utilizar la autenticación
No solo su propia empresa, sino también los proveedores y socios suelen tener menos personal en la época navideña. Esto puede provocar retrasos en las respuestas y abrir la puerta a intentos de fraude en los que los atacantes se hacen pasar por nuevos o suplentes para cambiar los datos de la cuenta para las transferencias.
Consejo: Utilice de forma consistente los procedimientos de autenticación de dominio como DMARC, DKIM y SPF para verificar la autenticidad de los correos electrónicos entrantes. Anime activamente a sus socios y proveedores a implementar también estos estándares. Esto fortalece la seguridad de toda la cadena de suministro, especialmente en las temporadas altas.
Conclusión: Humanos y tecnología como un muro de protección decisivo
Los ciberdelincuentes no se toman un descanso navideño. Aprovechan la reducción de la plantilla y la avalancha de comunicaciones estacionales para sus propios fines. Para no ser víctima de ataques de phishing, las empresas deben complementar el firewall humano con medidas de protección técnica inteligentes. Si la estrategia de seguridad abarca tanto a las personas como a la tecnología, la protección puede elevarse al siguiente nivel.
Contacto de prensa:
retarus GmbH
Correo electrónico: press@de.retarus.com
Sitio web: https://www.retarus.com/de/
Material adicional: www.presseportal.de
Fuente: Retarus
© sornram – stock.adobe.com
