Adaptación del articulo “Eight Phishing Prevention Steps for Business”  https://www.cyberark.com/resources/blog/eight-phishing-prevention-steps-for-business

El Mes de la Concienciación sobre la Ciberseguridad 2022 da prioridad a la educación para mejorar el reconocimiento y la denuncia del phishing. Los líderes en seguridad están de acuerdo, clasificando la formación de los empleados como la segunda capa de defensa en profundidad más eficaz para la protección contra el Ransomware. La concienciación general sobre la seguridad ha aumentado, pero los ciberatacantes siguen haciendo phishing. La pregunta es: ¿por qué la gente sigue cayendo?

La Confianza a Ciegas da Ventaja a los Atacantes

Los estudios psicológicos sobre todo tipo de temas, desde la química del cerebro hasta el comportamiento de los niños y los esquemas Ponzi, sugieren que no podemos evitarlo: Los humanos están programados para confiar.

Desde el principio de los tiempos, los delincuentes han estudiado el comportamiento humano para explotar la confianza (¿recuerda el Caballo de Troya en la clase de historia?). Sólo que sus métodos han cambiado, y siguen mejorando con la ayuda de la tecnología. Hoy en día, cuando los usuarios trabajan desde cualquier lugar, alternando frecuentemente entre dispositivos corporativos y personales, estos factores juegan a favor de los atacantes:

• Ingeniería social más fácil: Los empleados llevan más tiempo de su vida personal en línea, lo que facilita a los atacantes el reconocimiento y la conexión con ellos en las redes sociales. Cuando alguien tiene acceso a un activo corporativo valioso, un atacante puede pasar meses construyendo una relación con ellos antes de enviar un correo electrónico de phishing que contenga un código malicioso.
• Más identidades que explotar: El uso extendido de las herramientas SaaS está generando nuevas identidades que acaban siendo inadecuadamente protegidas y supervisadas. Con algunas herramientas, cada vez que se establece un nuevo equipo, se crea una cuenta de correo electrónico para que la utilice. Un atacante puede comprometer esta cuenta o generar una cuenta falsa para enviar mensajes al equipo.
• Nuevas formas de engañar: Con tantas herramientas digitales nuevas en la mezcla, los trabajadores pueden ser menos propensos a cuestionar las solicitudes fuera de lo común o los cambios en el flujo de trabajo.

Parte de nuestro trabajo como defensores es armar a los usuarios de la fuerza de trabajo con el conocimiento y las habilidades para frustrar los intentos de phishing. Otra es pensar como un atacante, reconociendo que alguien tendrá un desliz, pensará que una llamada falsa es legítima, se fatigará con demasiados avisos de MFA o será engañado por alguna táctica novedosa de phishing.

Ocho Formas de Combatir el Phishing y Acercarse al «Zero Trust»

La gente siempre tendrá problemas de confianza. Esta puede ser la razón por la que el 88% de los líderes de seguridad están de acuerdo en que la confianza cero es el camino. Este enfoque se centra en la evaluación de cada solicitud de acceso a un recurso corporativo (datos, aplicaciones e infraestructura) antes de conceder el acceso y, a continuación, en la limitación estricta del acceso para los usuarios y dispositivos verificados.

Parte de la visión de la ciberseguridad a través de la lente de la Confianza Cero implica tomar medidas proactivas para hacer que sus sistemas de acceso sean más resistentes al phishing, ayudar a los usuarios finales a reconocer los intentos de phishing y reducir el daño potencial desplegando mecanismos para minimizar el impacto si los usuarios son atraídos a morder el anzuelo.

Establezca mecanismos de autenticación multifactor (MFA) resistentes a la suplantación de identidad, como FIDO, códigos QR o tokens físicos.

• Implemente políticas fundamentales de Confianza Cero, como exigir a los usuarios que registren autenticadores resistentes al phishing, utilizar avisos de autenticación escalonada cuando se inicien aplicaciones sensibles o se modifique información sensible, exigir la MFA para las modificaciones del perfil personal y establecer alertas automáticas que señalen los comportamientos de riesgo de los usuarios.
• Segmente su red. De este modo, cuando el phishing tenga éxito, se restringirá el movimiento del atacante dentro de la red y se bloqueará el acceso a los recursos sensibles.
• Asegure sus dispositivos. La higiene de la seguridad de los puntos finales es imperativa, ya que los dispositivos están más expuestos al phishing y al malware en los entornos sin
• perímetro. Uno de los principales retos operativos que habrá que superar será el de mantener un inventario completo y actualizado de usuarios y dispositivos.
• Revise sus políticas de BYOD. Las dificultades para verificar los dispositivos pueden verse agravadas por los dispositivos no gestionados. El envío de portátiles corporativos reforzados a los trabajadores remotos no siempre es factible. Y es posible que los trabajadores sigan conectándose a las aplicaciones corporativas orientadas a Internet desde un dispositivo personal. Considere la posibilidad de aplicar unas normas mínimas para reforzar las redes domésticas de los trabajadores híbridos, como el cambio de las credenciales del router por defecto y el uso de contraseñas WiFi seguras.
• Realice ejercicios periódicos de phishing. Volviendo a la psicología, un conocido sesgo cognitivo conocido como el efecto Dunning-Kruger pone de manifiesto la tendencia de las personas a sobreestimar sus propias capacidades. Los escenarios de pruebas en vivo y los ejercicios del Equipo Rojo pueden ayudar a desafiar el pensamiento, descubrir puntos ciegos y fortalecer las defensas de seguridad.
• Fomente una mayor colaboración entre las distintas funciones empresariales y los equipos de seguridad de TI para mejorar la gobernanza de las identidades y las prácticas de gestión del ciclo de vida, como el desaprovisionamiento de las cuentas cuando los usuarios abandonan sus funciones, la realización de evaluaciones de «conozca a sus empleados», la formación de usuarios externos y la supervisión continua del acceso.
• Apóyese en la orientación de expertos en materia de personas, procesos y tecnología. Aquí es donde importa el conocimiento del dominio y la experiencia de su proveedor de ciberseguridad. Con el acceso a los recursos educativos y a un equipo de expertos que comprenda sus objetivos empresariales, su organización de seguridad puede mejorar los resultados en áreas como las revisiones de acceso y la supervisión de cobros, las pruebas de rendimiento de los escáneres de virus, las pruebas de penetración, la resolución de flujos de trabajo y procesos estancados y la entrega de los informes adecuados para las partes interesadas.

Asumir que la gente confía demasiado está entretejido en la filosofía de Zero Trust de «no confiar en nada, verificar todo». La Seguridad Definida por la Identidad ofrece un conjunto de tecnologías que pueden ayudar a su organización a habilitar la Confianza Cero de forma más eficiente. Mientras su equipo da prioridad a la prevención de la suplantación de identidad en este Mes de la Concienciación sobre la Ciberseguridad, la Alianza para la Seguridad Definida por la Identidad ofrece un marco útil para ayudarle a #BeIdentitySmart y a comprender los componentes tecnológicos (desde los dispositivos hasta la red, las aplicaciones y el almacenamiento) que requieren protección a nivel de la identidad.