• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Phishing y Empresa
 

Phishing y Empresa

on

  • 831 views

 

Statistics

Views

Total Views
831
Views on SlideShare
799
Embed Views
32

Actions

Likes
0
Downloads
12
Comments
0

1 Embed 32

http://www.tusconsultoreslegales.com 32

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Phishing y Empresa Phishing y Empresa Presentation Transcript

    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      1. GESTIÓN DE RIESGOS EN EMPRESAS. PHISHING
      El phishing se trata de un tipo de ataque informático basado en la estafa a los usuarios de los medios digitales, consistente en la adquisición de información a través de medios fraudulentos haciéndose pasar el estafador por una entidad o persona de confianza.
      El phishing no es un ataque informático cualquiera, pese a que todos los “ciberataques” son importantes y hay que tenerlos en cuenta, el phishing está representando en los últimos años uno de los ataques más comunes y con mayor repercusión en todos los ámbitos (especialmente en el económico) debido al incremento del uso de dispositivos tecnológicos muy variados, y al masivo acceso a las redes sociales.
      En este tipo de estafa, el estafador o phisher busca apoderarse de información confidencial de personas y empresas para obtener algún tipo de beneficio posterior.
      Las páginas web o los correos falsos con apariencia de verdaderos
      son el “anzuelo” que lanzan los phishers a sus posibles víctimas.
      ¡ VIGILA CON EL ANZUELO !
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      2. POSIBLES SITUACIONES REALES – Para empleados
      ¿Desde tu puesto de trabajo puedes acceder a cualquier página web? ¿También a las páginas de entidades financieras? ¿Verificas la seguridad de la página?
      ¿Abres correos de dudosa procedencia? ¿Das información personal cuando te la piden por e-mail?
      ¿Puede alguien ajeno a la empresa mandar comunicaciones electrónicas a los empleados, desde el correo corporativo?
      ¿La página web de la empresa puede manipularse y usarse como “anzuelo” para que los usuarios y clientes crean que están accediendo de verdad?
      ¿Los clientes pueden llegar a dar datos confidenciales a un tercero sin saberlo?
      RELFEXIÓN
      ÉSTATE ATENTO, PUEDES DE SER VÍCTIMA DE PHISHING
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      3. ¿POR QUÉ LA EMPRESA PUEDE SER VULNERABLE?
      Porque los empleados desconocen qué es el phishing Y sus repercusiones.
      Porque la empresa considera que la seguridad de sus sistemas es la adecuada, desconociendo también si pueden ser víctima de phishing.
      Porque la empresa no ha implementado las políticas de control ni las medidas de prevención adecuadas.
      Porque la mutación constante del phishing y la continua mejora de su efectividad hacen muy complicado mantenerlo controlado.
      RELFEXIÓN
      LAS MEDIDAS PUNTUALES ANTI-PHISHING NO SON TAN EFECTIVAS COMO LOS SERVICIOS INTEGRALES ANTI-PHISHING
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      4. MODUS OPERANDI (1/2)
      Puedes identificar el ataque de phishing cuando te intentan engañar de la siguiente manera (modo más extendido):
      Recibes un correo electrónico que simula ser de una compañía con la que tienes algún tipo de vínculo (la empresa donde trabajas, la entidad de la que eres cliente, etc.).
      En el correo electrónico el remitente simula ser la compañía en cuestión.
      En el mensaje figura el diseño y logotipo de la empresa que firma el mensaje.
      En el mensaje te piden que verifiques información personal o confidencial (que el supuesto remitente ya posee, o debería poseer) alegando algun fallo en el sistema o la verificación de los datos.
      El mensaje incluye un enlace a una página web aparentemente igual a la de la compañía con la que mantienes el vínculo.
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      4. MODUS OPERANDI (2/2)
      TOMA NOTA
      En realidad la página web a la que accedes a través del enlace del e-mail
      se trata de una página fraudulenta que reproduce fielmente la página
      verdadera, y que se encuentra en un servicio de alojamiento bajo un
      nombre muy similar al de la página auténtica.
      Las páginas con identidad fraudulenta suelen incluir pasarelas de pago
      que confunden a los usuarios y les llevan a las redes de los estafadores.
      Los estafadores se aprovechan del desconocimiento de los usuarios en materia de controles de seguridad y de la confianza depositada en internet para realizar el ataque de phishing.
      El phishing se ejecuta rápidamente y sus consecuencias son igual de inmediatas. Un ejemplo es un caso real de phishing donde se capturó 35 tarjetas de crédito en 5 horas.
      Además del envío de correos electrónicos con falsos enlaces a páginas web, que es el método más habitual y difundido de phishing, éste puede presentarse de otras formas que planteamos en el siguiente punto. ¡Sigue leyendo!
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      5. ¿DÓNDE LO ENCONTRAMOS? (1/2)
      Pese a que el fenómeno del phishing está teniendo un eco importante en la sociedad en general y en especial en el mundo de la seguridad dado su ascendiente incremento y repercusión, este tipo de ataque ya cuenta con años de existencia, lo que ocurre es que el modo u entorno de ataque cambia con facilidad y se adapta a las tendencias de cada momento.
      Veamos dóndepodemos dar con el phishing:
      Contenido malicioso en la página web (banners falsos, pantallas de Pop-Up, elementos ocultos en la web, troyanos...).
      Canales tipo IRC o IM (InstantMessagingcomo el Messenger de Microsoft) donde por ejemplo se pueden falsear los programas que participan en los chats, o enviando elementos maliciosos a los participantes.
      PCs infectados por troyanos que se insertan desde la descarga de algún archivo.
      En ocasiones los ataques se han realizado mediante las denominadas Redes Zombis, que son ordenadores qua han sido “raptados” por ataques de troyanos. Estos PCs, sin que sus propietarios lo sepan, emiten ataques phishing coordinados con otros PCs pertenecientes a la misma red zombi.
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      5. ¿DÓNDE LO ENCONTRAMOS? (2/2)
      Ataques dirigidos (mediante e-mail). Aunque los usuarios se han acostumbrado a evitar pinchar
      enlaces sospechosos incluidos en correos basura o spam, aún abren archivos incluidos en aquellos que son enviados desde una dirección aparentemente legítima.
      URL modificadas (nombre de la página web). Con el aumento de servicios de acortador de URL han proliferado también los casos de phishing, ya que los usuarios se confían de la denominación de la página.
      Dispositivos móviles. Tendencia en alza que sigue creciendo a medida que aumentan sus usuarios. Las vulnerabilidades conocidas en los sistemas operativos móviles crecieron desde las 115 en 2009 a las 163 en 2010. Según información del Cuerpo Nacional de Policía, los usuarios de teléfonos móviles son tres veces más propensos a ser víctimas de ataques de phishing, el principal motivo es la dificultad para comprobar que la página que visitada es la auténtica y el entorno en el que se efectúan las consultas.
      Ataques mediante redes sociales. Actualmente es el principal objetivo para ataques de malware.
      Ante este panorama hay que estar alerta a las posibles nuevas formas de phishing. De todas formas, la mayoría de los ataques seguirán entrando a través de los canales habituales (correo electrónico, URLs modificadas, foros o grupos de discusión), dado que es más fácil para el phisher o estafador.
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      6. MEDIDAS PREVENTIVAS (1/2)
      Con tal de prevenir el ataque de phishing, te damos las siguientes pautas de prevención:
      Mantenerse informado acerca de las políticas de control aplicables al phishing.
      No responder a correos electrónicos que piden información personal o financiera.
      No enviar información personal mediante mensajes de correo electrónico si no se utilizan técnicas de cifrado o firma digital.
      No aceptar invitaciones a páginas web incluidas en un enlace recibido por e-mail.
      No acceder a páginas web de entidades financieras, de comercio electrónico o de contenido crítico desde lugares públicos.
      Verificar los indicadores de seguridad de la página web a la que se accede y en la que se ingresará información personal. (La dirección web debería comenzar por https:// , que significa que contiene un certificado de seguridad).
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      6. MEDIDAS PREVENTIVAS (2/2)
      Verificar que en el navegador aparece un candado cerrado. (Haciendo clic sobre el candado se puede comprobrar la validez del certificado digital y obtener información sobre el sitio web al que se accede).
      Mantener actualizado el software del ordenador o dispositivo móvil.
      Disponer de programas anti-phishing y filtros de spam.
      No descargar ni abrir archivos de fuentes desconocidas o no confiables.
      IMPORTANTE
      NUNCA respondas a NINGUNA solicitud de información personal a través de correo electrónico, llamada telefónica o SMS.
      Las entidades u organismos NUNCA solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS porque ellos ya disponen de esa información.
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      7. DENUNCIA (1/2)
      Si pese a adoptar las medidas de prevención, o por no haberlas adoptado, acabas siendo víctima del phishing, sólo te queda denunciarlo e intentar paliar los daños causados aumentando la seguridad del sistema.
      DENUNCIA A LA POLÍCIA:
      Cuando seas víctima de este tipo de intento de estafa debes informar a las autoridades competentes, el Cuerpo Nacional de Policía dispone en su página web: www.policia.es de un formulario telemático para denunciar los casos de phishing.
      OTRAS ENTIDADES DE REFERENCIA:
      También existen entidades independientes, como el internacional Anti-Phishing WorkingGroup (APWG) o bien a nivel nacional la Asociación de Internautas, que luchan para erradicar este tipo de ciberataques. Ellos denuncian el hecho a la empresa u organismo afectado y avisan a las fuerzas del Estado, haciendo el seguimiento del caso.
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      7. DENUNCIA (2/2)
      PARA TENER EN CUENTA….
      Ante el daño que puede causarte el phishing, es interesante saber que las entidades financieras pueden ser responsables del hecho si no han previsto debidamente las medidas de seguridad oportunas para que sus clientes puedan operar por medios electrónicos con total confianza:
      “Un juez exige a una caja que indemnice a un cliente que sufrió una estafa informática” (fuente: vlex.es)
      La sentencia resuelve que la entidad tiene una responsabilidad, independientemente de que a sus usuarios los engañen con virus o páginas falsas, y castiga la pasividad de la misma al no alertar a sus clientes teniendo conocimiento de otros casos.
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      8. CONCLUSIONES
      ¡No te dejes pescar!
      El phishing está de actualidad, no dejes que el anzuelo te tiente y seas víctima del ciberataque.
      Las medidas de prevención son la solución, puesto que reparar el daño económico o el ataque a la privacidad y reputación tuya o de tu empresa es mucho más costoso.
    • www.tusconsultoreslegales.com
      info@tusconsultoreslegales.com
      Gracias por su interés
      Para contactar al experto:
      comercioelectronico@tusconsultoreslegales.com
      Para comprar el documento:
      www.tusconsultoreslegales.com/documentos
      www.tusconsultoreslegales.com