El phishing, uno de los principales retos de la ciberseguridad

El Instituto Nacional de Ciberseguridad (INCIBE) ha contabilizado más de 97.000 incidentes de ciberseguridad en España en 2024, según informa en su último balance anual, recién publicado. De ellos, un 43,2 % se enmarcaron en la categoría de fraude online (más de 38.000 incidentes). El phishing lidera esta categoría con 21.751 casos.

Este dato concuerda con otro recién publicado por la organización de consumidores OCU, que dice que las consultas y reclamaciones que han gestionado por esta práctica delictiva aumentaron un 166 % en 2024 con respecto a 2023. Los datos son importantes para conocer el contexto, pero en este caso funciona la experiencia personal: ¿a quién no le ha llegado un email o SMS sospechoso últimamente?

El phishing es una técnica de ingeniería social utilizada por ciberdelincuentes para obtener información confidencial de los usuarios mediante el engaño. A través de correos electrónicos o SMS falsos, intentan “pescar” (juego de palabras, pescar en inglés es “to fish”) datos sensibles como contraseñas, números de tarjeta, códigos CVV o credenciales de acceso mediante la suplantación de la identidad de entidades legítimas.

El objetivo de los delincuentes es utilizar los datos para, por ejemplo, realizar transferencias a sus cuentas sin el consentimiento de los titulares que, cuando se dan cuenta, ya no pueden revertir las operaciones. El sector financiero es el más afectado por esta práctica, pero otros, como seguros, utilities y telecomunicaciones, también lo sufren con regularidad.

Aparte de en seguridad digital, las empresas invierten muchos recursos en divulgación para advertir a sus clientes de la situación y recomendar que no hagan clic en enlaces de SMS o emails, aunque parezcan provenir de las propias empresas. En estos sectores:

• Los contratos, pólizas o préstamos se firman a través de enlaces enviados por email o SMS.
• Las notificaciones en ocasiones incluyen documentos descargables, situación que los ciberdelincuentes pueden aprovechar para esconder código malicioso.
• Los procesos de comunicación suelen tener una imagen poco reconocible, con emisores no corporativos o enlaces de terceros, lo que genera desconfianza.

Lo más importante que pueden hacer las compañías para evitar que sus usuarios caigan en el phishing es proteger sus canales, sobre todo en los casos de notificaciones de alto impacto. Para ello, es imprescindible diseñar una estrategia que aúne técnicas de comunicación y de seguridad digital y que incluya aspectos como:

• Poner en marcha procesos que eviten, a través de la tecnología, el éxito de los intentos de phishing. Por ejemplo, a través de firmas electrónicas innovadoras, robustas y seguras.
• Evitar lanzar procesos críticos (como la firma de documentos) directamente desde un enlace en un correo o SMS no certificado.
• Fomentar el uso de canales oficiales como la web corporativa, área de cliente o app móvil.
• Personalizar y dotar de coherencia visual (identidad de marca) a todos los mensajes, independientemente del canal.
• Utilizar canales gestionados a través de un prestador de servicios de confianza cualificado: garantía extrema de seguridad.
• Generar URL seguras y únicas, con hashes aleatorios de 32 caracteres imposibles de predecir.
• Incorporar canales verificados, como el uso de WhatsApp verificado.

Uno de los puntos más importantes de la estrategia antiphishing, como has podido leer, es recurrir a un prestador de servicios de confianza cualificado para gestionar los canales digitales, como es MailComms Group, en la modalidad de entrega electrónica certificada. Además, somos expertos en comunicación omnicanal personalizada y, algo muy importante en la lucha contra el phishing, en la implementación de procesos de firma electrónica diseñados específicamente para aplacar esta práctica delictiva.

Nuestras plataformas garantizan la seguridad de los datos de las empresas con las que trabajamos y la privacidad de sus comunicaciones. Así, desarrollamos procesos seguros de comunicación con clientes que:

• Previenen el phishing usando canales verificados como WhatsApp certificado.
• Promueven el uso de la multicanalidad y el intercambio automático de canal en función del comportamiento del receptor.
• Aprovechan plataformas de atención de cliente securizadas y posiblemente ya disponibles en cada organización.
• Protegen tus procesos clave (firma, notificaciones, envíos de documentos) con tecnología de vanguardia.
• Emplean buenas prácticas de seguridad digital y las últimas tendencias, conocidas y desarrolladas en potentes alianzas para la ciberseguridad.