1

Phishing continúa vulnerando seguridad bancaria

Un portal bancario puede contar con todos los elementos para protegerse de un ataque anti-phishing, sin embargo estas medidas de seguridad no evitarán que los clientes y socios fuera del perímetro de la compañía involuntariamente entreguen información sensitiva a algún hacker que imite su institución y pueda vulnerar los controles de seguridad.

Estos ataques no sólo ponen en riesgo a la gente que confía en el nombre de la entidad financiera su nombre, sino que también puede afectar la reputación del banco. Cuando los clientes caen víctimas de ataques de phishing que aprovechan el nombre de su institución, recuperar su confianza se convierte en una tarea casi imposible.

Daniel Brody, gerente de Mercadeo de Productos de Easy Solutions comenta que las verdaderas estrategias anti-phishing no dependen de soluciones todo en uno y se extienden más allá de los límites de la institución financiera.

Basa sus palabras en el informe Gartner, que señala que un completo y efectivo programa anti-phishing extiende la protección más allá del perímetro para detectar y erradicar campañas de phishing que buscan abusar de marcas y nombres en ataques contra clientes y público en general.

Para Brody, estas son algunas recomendaciones para evitar el fraude:

#1: Monitoreo de nombres de dominios y redes sociales

Entre más legítimo parezca un mensaje de phishing, mayores serán las probabilidades de que engañe a sus clientes. Con el propósito de verse genuinos, los mensajes fraudulentos emplean nombres de dominio y de redes sociales que se asemejan bastante a los utilizados por su institución.

#2: Monitoree campañas de phishing externas

El monitoreo de registros de dominios y de perfiles en redes sociales ayuda a reducir significativamente el volumen de ataques, aunque de ninguna forma es una cura mágica que detenga todo el phishing. Las instituciones financieras deben realizar un monitoreo externo de posibles amenazas y brechas para detectar y mitigar incidentes tan rápido como sea posible.  

#3: Combata la falsificación de emails

Las instituciones financieras pueden detener la falsificación de emails a través de la implementación del estándar DMARC (Domain-based Message Authentication, Reporting and Conformance). Este estándar, el cual ya ha sido implementado por los más grandes proveedores de email del planeta como Google, Office365, Hotmail y Yahoo, asegura que aquellos mensajes que fallen los controles de autenticación nunca serán recibidos por sus usuarios.

#4: Ayude a sus clientes a conocer la diferencia entre comunicaciones legítimas y fraudulentas

No todas las medidas anti-phishing deben ser de naturaleza tecnológica. Por ejemplo, mantener un tono claro y distintivo en todos sus emails y comunicaciones en redes sociales ayuda a reducir la vulnerabilidad de sus usuarios al hacer que los mensajes fraudulentos se vean toscos y poco profesionales en comparación.

#5: Establezca procesos de respuesta ante ataques de phishing

Saber que un ataque está ocurriendo no es suficiente. Cada segundo que un ataque de phishing esté activo, es un segundo donde el dinero o la información de sus clientes estará en riesgo. Usted debe contar con los recursos adecuados para derribar estos ataques, incluyendo un esfuerzo conjunto entre equipos de respuesta en caso de incidentes de seguridad digital (CSIRT), equipos de manejo de crisis de RP y asesores jurídicos.

 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.