Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

Campañas de phishing

Boletín nº89 - Campañas de phishing

El phishing, o suplantación de identidad, es una de las técnicas de ataque por medio del correo electrónico. Los ciberdelincuentes envían un correo electrónico simulando ser una entidad legítima con la finalidad de obtener información personal de los usuarios. Este tipo de ataque, generalmente, se lleva a cabo por medio de la suplantación de la identidad de una persona o de un organismo determinado, para que las posibles víctimas hagan una acción que permita obtener sus datos personales (habitualmente contraseñas o información sobre cuentas bancarias).

 

Este ataque es comúnmente utilizado por los ciberdelincuentes para comprometer a las organizaciones. Generalmente, los ataques de phishing van dirigidos a los usuarios de estas e intentan atraer su atención con correos electrónicos, con el objetivo que descarguen y abran un fichero adjunto malicioso, accedan a una URL no segura, introduzcan sus credenciales generalmente a páginas preparadas para parecer legítimas, etc.

 

Ante estos ataques, desde el Servicio de Salud de las Islas Baleares se presta una atención especial en formar y concienciar a los profesionales en cuanto a la seguridad de la información. Es por ello por lo que anualmente desde la Subdirección de Tecnologías de la Información se define un plan de formación basado en varias campañas de phishing, para determinar el grado de concienciación de los usuarios y para que, estos profesionales sepan identificar si los correos recibidos son legítimos o si son fraudulentos.

 

Estas campañas de phishing consisten en el envío de correos electrónicos a los diferentes profesionales de Servicio de Salud simulando ser correos legítimos. Estos se dividen en dos tipologías de correos maliciosos: los que contienen un fichero adjunto malicioso y aquellos que contienen un enlace que redirige a una página web que solicita las credenciales de usuario del Servicio de Salud.

 

Una vez finalizadas las campañas de phishing se analiza el número de profesionales que han leído el correo malicioso, el de los que han accedido al enlace o al archivo supuestamente malicioso y el de los que han introducido sus credenciales. Según cada acción sobre estos correos electrónicos, se envía un comunicado para recordar lo importante que es intentar detectar que se trata de un correo malicioso.

 

Asimismo, estos correos correspondían a diferentes temáticas para comprobar cuáles tenían más efecto entre los profesionales del Servicio de Salud: promociones especiales, notificaciones de organismos externos, prestaciones internas, etc.

 

 

 

Por ello es conveniente recordar algunas pautas para detectar si un correo electrónico es legítimo o no:

 

  • Si recibe un correo no esperado o de origen desconocido, desconfíe y no lo abra.
  • Si abre un correo sospechoso, nunca clique en los enlaces que contenga ni abra los ficheros adjuntos. Antes de descargar cualquier fichero adjunto o clicar en los enlaces que contenga el correo hay que analizarlo detalladamente en busca de cualquier aspecto sospechoso. Es conveniente confirmar que el dominio del correo electrónico es correcto, analizar la escritura del correo y revisar los enlaces a páginas web.
  • No responda ningún correo que le parezca sospechoso ni facilite datos personales ni información de sus cuentas bancarias.
  • No introduzca credenciales en páginas web sospechosas o aparentemente oficiales.

 

Es importante recordar que NO se deben acceder a enlaces que creen la duda de si son legítimos o no y en ningún caso introduzca sus credenciales, ya que estas pueden ser utilizadas para suplantar su identidad.

 

En el caso de los profesionales del Servicio de Salud de las Islas Baleares siempre que detecten que han recibido un correo malicioso o que duden de si se trata de un correo que simula ser legítimo, deben remitirlo por correo electrónico al Servicio de Seguridad de la Información, equipo que se encarga de analizar el correo, bloquear el remitente, si procede, y bloquear el enlace malicioso para que no se propague el ataque.

 

Es recomendable consultar estos boletines anteriores:

 

  • Boletín núm. 72: Buenas prácticas en el uso del correo electrónico.
  • Boletín núm. 63: Buenas prácticas en el uso de los sistemas de información: el correo electrónico corporativo.
  • Boletín núm. 60¿Protegemos debidamente la información sensible que enviamos a través del correo electrónico?
  • Boletín núm. 53Campañas de software malicioso e ingeniería social.
  • Boletín núm. 45: Uso del correo electrónico y peligros que implica.

 

Por último, y como siempre manifestamos, cabe recordar que la seguridad de la información es cosa de todos y empieza por cada uno de nosotros.

 

Muchas gracias por vuestra ayuda.