BLOG

¿Crees que las estafas navideñas son solo un problema del consumidor? ¡Piénsalo otra vez!

Miniatura de Jay Kelley
Jay Kelley
Publicado el 9 de noviembre de 2023

El Día de los Solteros en China, el día de compras más grande del mundo, es el 11 de noviembre.

El Viernes Negro, el día de compras más importante en Estados Unidos, es el 24 de noviembre.

El Cyber Monday, probablemente el día de compras en línea más importante, es el 27 de noviembre.

Entonces, ¿qué tienen estos días en común, además de una increíble cantidad de ofertas, un ejercicio extenuante para muchas personas y sus tarjetas de crédito y días de grandes ventas para minoristas y sitios de comercio electrónico?

Son una recompensa para los atacantes de todo el mundo.

En lugar de aprovechar ahorros increíbles y comprar artículos especiales, los atacantes están ansiosos por irse con una bolsa llena de contraseñas robadas, números de tarjetas de crédito y mucho, mucho más. ¡Ah, y no olvidemos tampoco el ransomware!

Los atacantes y otros actores maliciosos harán lo que sea para robarle sus datos y el dinero ganado con tanto esfuerzo. Por ejemplo, pueden:

  • Inunde su bandeja de entrada con correos electrónicos de phishing o sus dispositivos móviles con mensajes de texto que contienen enlaces maliciosos que utilizan nombres de minoristas, empresas de comercio electrónico o fabricantes como disfraz.
  • Muestre increíbles ahorros en anuncios falsos que están disponibles con solo hacer clic en un enlace y, por supuesto, con su número de tarjeta de crédito.
  • Solicita tus credenciales en sitios web que parecen legítimos porque hay un candado en la URL, lo que generalmente significa que el sitio está encriptado y supuestamente es "seguro".
  • Simular que le envían un correo electrónico o un mensaje de texto de su servicio de entrega habitual o favorito con un enlace que parece real y rastrea su pedido, o indicando que su pedido no se puede entregar hasta que verifique su nombre de usuario y contraseña o información personal.
  • Publicite productos “imprescindibles” que parecen agotados en todas partes donde busque, pero que aparentemente están disponibles solo por tiempo limitado en un solo sitio web y a un precio increíble. (Así que no lo creas.)

Ahora bien, si trabajas en SecOps, TI u otros puestos a cargo de la seguridad corporativa y organizacional, probablemente estés leyendo esto y pensando: “Esto parece un problema a nivel de consumidor. Esto no debería afectarme a mí ni a mi empresa. Además, nuestros empleados y otros usuarios deben pasar por una capacitación e incluso firmar un documento en el que entienden que tienen prohibido utilizar los equipos de la organización para uso personal. “Entonces no lo harían”.

No apuestes por eso. Según una encuesta reciente, más del 50% de los encuestados afirmaron que habían usado dispositivos corporativos para revisar su correo electrónico o comprar, o habían permitido que sus amigos o familiares hicieran lo mismo, y más del 20% revisó sus redes sociales a través de un dispositivo corporativo.

Todo lo que se necesita es que un empleado o usuario abra un correo electrónico o un mensaje de texto de phishing que parezca auténtico, supuestamente de un minorista real, una empresa de comercio electrónico o un fabricante en un dispositivo proporcionado por el trabajo, haga clic en un enlace para iniciar lo que se afirma que es un sitio web de la vida real, y luego ¡zas!, podría estar bajo ataque de ransomware, malware y otras amenazas desagradables que ponen en peligro su organización, red, aplicaciones y datos.

A continuación, presentamos algunas ideas que puede usar para ayudar a educar y proteger a sus empleados, usuarios y organización de ataques que se apropian indebidamente del Día de los Solteros, el Viernes Negro, el Ciberlunes o cualquier otro día festivo de compras:

  • Recuerde a los empleados y usuarios que sus dispositivos de trabajo no deben usarse para asuntos personales, especialmente para comprar.
  • Programe un curso de actualización sobre phishing para que coincida con los próximos días festivos de compras. O enviar un recordatorio a los empleados y usuarios para que no accedan a correos electrónicos o mensajes de texto personales en los dispositivos de trabajo, y especialmente para que no abran correos electrónicos o mensajes de texto no solicitados, ni hagan clic en enlaces en ningún correo electrónico o mensaje de texto, sino para que accedan directamente a la URL y al sitio web de la empresa de origen.
  • Señale que, incluso si un sitio web al que se accede a través de un enlace en un correo electrónico o mensaje de texto o un anuncio no solicitado puede parecer legítimo y encriptado, y tener un pequeño candado en la dirección URL, puede ser un sitio web de phishing falso. No deben proporcionar ninguna credencial, incluida información de inicio de sesión, ni información personal o financiera en el sitio. Nuevamente, deben acceder directamente a la URL y al sitio web de la empresa de origen.
  • Tenga en cuenta para los empleados y usuarios que un correo electrónico, un mensaje de texto o un anuncio que promueva una oferta que parezca demasiado buena para ser verdad, probablemente no sea cierta. Por lo tanto, no deben hacer clic en el enlace proporcionado, sino ir directamente al sitio web del minorista, la empresa de comercio electrónico o el fabricante para encontrar el artículo.
  • Lo mismo ocurre con los artículos que se agotan en cualquier sitio web pero que están disponibles (y solo por tiempo limitado) en una única fuente. ¡Recuerde a los empleados y usuarios que no hagan clic en el enlace!
  • Informe a los empleados y usuarios que si reciben un correo electrónico o un mensaje de texto sobre una próxima entrega que incluye un enlace para rastrear el pedido, dice que el pedido está perdido y proporciona un enlace para rastrearlo, o proporciona cualquier otro enlace, no deben hacer clic en el enlace, sino ir directamente a la página web del proveedor y rastrear o rastrear su pedido desde allí.
  • Recuerde también a los empleados y usuarios que si reciben un correo electrónico o un mensaje de texto de un servicio de entrega con información sobre un pedido próximo, pero indica que el servicio necesita su tarjeta de crédito u otra información personal o financiera para entregar el pedido, no deben proporcionar esa información. En su lugar, deberían ir directamente a la página web del proveedor para rastrear o seguir su pedido.
  • Si un empleado o usuario sospecha que algo sospechoso está sucediendo con respecto a cualquier cuenta que tiene con un minorista, proveedor de comercio electrónico o fabricante, o si siente que está ocurriendo un fraude, phishing o suplantación de identidad, debe informarlo directamente al minorista, proveedor o fabricante.

Pero incluso todos los recordatorios y advertencias pueden no ser suficientes, ya que basta con que un empleado o usuario cometa un desliz y haga clic en un enlace para que su negocio se vea afectado negativamente. F5 puede ayudar. 

F5 protege aplicaciones y API en todas partes. Desde la protección contra bots que asegura las aplicaciones web y móviles y las API contra ataques automatizados que pueden escalar rápidamente a una emulación avanzada del comportamiento humano, hasta la defensa de lo que más importa (sus aplicaciones, API e infraestructura subyacente) con seguridad simple, consistente y reconocida, hasta la protección de su organización contra amenazas cifradas como ransomware y más, F5 lo tiene a usted, a su red, aplicaciones y datos seguros y protegidos no solo para el Día de los Solteros, el Viernes Negro, el Ciberlunes o cualquier día festivo de compras, sino todos los días.

Para obtener más información sobre cómo F5 puede proteger su organización, sus aplicaciones y sus datos, haga clic aquí .