Archives septiembre 2020

Esta función está disponible actualmente en Estados Unidos, México, Brasil, España e India, pero la intención es ampliar su cobertura a otros países.

La semana pasada Google anunció una nueva funcionalidad en Android: las llamadas verificadas. Una función que busca evitar el spam y los engaños telefónicos y a la vez ayudar a empresas legítimas a transmitir mayor confianza y seguridad de cara a los clientes. Muchas veces no atendemos una llamada entrante si desconocemos el número que llama. A partir de esta nueva función los usuarios que tengan la app Teléfono de Google configurada como predeterminada para gestionar las llamadas en su dispositivo, además de corroborar que la misma proviene de una fuente verificada -mediante una marca azul-, verán en la pantalla el nombre de la empresa y una breve descripción del motivo de la llamada.

Esta opción funciona con aquellas empresas que se anotaron para formar parte de este programa y que sus llamadas aparezcan como verificadas en los dispositivos de los clientes. Las empresas que quieran formar parte de esta iniciativa y que estén en los países con cobertura (Estados Unidos, México, Brasil, España o India) pueden comenzar comunicándose con alguno de los socios de Google para implementar las llamadas verificadas.

La app de Teléfono de Google viene predeterminada en algunos teléfonos además de Pixel, como es el caso de los dispositivos con Android One, pero puede ser descargada desde la play store.

Según Google, las pruebas que realizaron durante la etapa piloto demostraron que con esta función las personas están más dispuestas a contestar una llamada que antes. Por ejemplo, el ratio de personas que atienden una llamada de un banco será más alta gracias a la función que añade el motivo de la llamada. Lo mismo en el caso de una llamada de un servicio de paquetería o envío de comida que quiere saber si el cliente está en el domicilio para recibir la entrega, explica Google.

Esta iniciativa se suma a los mensajes SMS verificados, funcionalidad que lanzó Google el año pasado y que al igual que con las llamadas telefónicas, confirma la identidad de la empresa en los mensajes de texto. Esta función actualmente está disponible en nueve países, entre ellos Brasil, México y España, y según Google el plan es ampliar la cobertura durante este 2020.

Vale la pena mencionar que los ataques de vishing han aumentado durante la pandemia. El uso de esta técnica de ingeniería social para estafar a los usuarios mediante llamadas telefónicas suplantando la identidad de una empresa o institución ha estado muy activa. En Estados Unidos organismos alertaron en agosto sobre el incremento de este tipo de ataques aprovechando que muchas personas están teletrabajando. En España, la Oficina de Seguridad Internauta alertó sobre este mismo comportamiento también el mes pasado, mientras que en América Latina también se están aprovechando de esta situación aparejada a la pandemia en países como Argentina, donde desde hace varios meses se registran casos de estafas telefónicas en las que se hacen pasar por organismos como la Administración Nacional de la Seguridad Social (ANSES) o instituciones bancarias para robar datos personales y dinero.

Créditos de la imagen: Hassan OUAJBIR en Pexels

Fuente: www.welivesecurity.com

Una nueva herramienta elaborado por el NIST puede ayudar a las organizaciones a evaluar las habilidades de los empleados a la hora de detectar correos de phishing.

Investigadores del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos han desarrollado un nuevo método que podría usarse para evaluar con precisión por qué los empleados hacen clic en ciertos correos electrónicos de phishing. La herramienta, denominada Phish Scale, utiliza datos reales para evaluar la complejidad y la calidad de los ataques de phishing para ayudar a las organizaciones a comprender dónde se encuentran sus vulnerabilidades (humanas).

Recordemos que, en su forma más simple, el phishing es un correo electrónico no solicitado, o cualquier otra forma de comunicación electrónica, en la que los ciberdelincuentes se hacen pasar por una organización confiable para engañar a los usuarios y de esta manera intentar robar sus datos. La información robada, como pueden ser las credenciales de acceso a una cuenta o servicio, pueden ser utilizadas por los cibercriminales para realizar más ataques o pueden venderlos en la dark web para cometer fraude o robo de identidad.

Por lo tanto, cualquier empresa u organización que se tome en serio la seguridad de sus activos realiza periódicamente capacitaciones o entrenamientos sobre phishing para ver si sus empleados pueden distinguir entre correos electrónicos legítimos y de phishing. Estas capacitaciones tienen como objetivo aumentar la atención y vigilancia de los empleados y enseñarles a detectar aquellos elementos que permiten identificar los ataques de phishing disfrazados de correos electrónicos legítimos, lo que ayuda a evitar que caigan en la trampa y a la vez protege a las organizaciones de cualquier daño, ya sea monetario o que afecte a su reputación.

Estos ejercicios suelen ser supervisados ​​por los directores de seguridad de la información (CISO) de la organización, que evalúan el éxito o el fracaso de estos ejercicios en función de las tasas de clics; es decir, la frecuencia con la que los empleados hacen clic en un correo electrónico de phishing. Sin embargo, los resultados no explican el problema en su totalidad.

“Phish Scale tiene como objetivo ayudar a proporcionar una comprensión más detallada de si un correo electrónico de phishing en particular es más difícil o más fácil de detectar para un público objetivo en particular”, dijo la investigadora del NIST, Michelle Steves, en el comunicado de prensa que anuncia la nueva herramienta.

Phish Scale analiza dos elementos principales a la hora de evaluar qué tan difícil es detectar un potencial correo de phishing. La primera variable que evalúa la herramienta son las ‘señales de un correo electrónico de phishing’; es decir, signos observables como errores ortográficos, uso de direcciones de correo electrónico personales en lugar de correos electrónicos corporativos, entre otras.

Mientras tanto, la segunda variable tiene en cuenta la ‘alineación del contexto del correo electrónico con el usuario’ y aprovecha un sistema de calificación para evaluar si el contexto es relevante para el objetivo: cuanto más relevante es, más difícil se vuelve identificarlo como un correo electrónico de phishing. Basándose en una combinación de estos factores, Phishing Scale clasifica la dificultad de detectar el phishing en tres categorías: mínima, moderada y muy difícil.

Estas categorías pueden proporcionar información valiosa sobre los ataques de phishing en sí mismos, así como ayudar a determinar por qué es más o menos probable que las personas hagan clic en estos correos electrónicos.

Phish Scale tiene como objetivo proporcionar a los CISO una mejor comprensión de los datos que se desprenden de la tasa de clics, por lo que no se basan únicamente en el resultado numérico. “Una tasa de clics baja para un correo electrónico de phishing en particular puede tener varias causas: los correos electrónicos utilizados como parte de la capacitación sobre phishing son demasiado fáciles de detectar o no brindan un contexto relevante para el usuario, o el correo electrónico de phishing es similar a uno utilizado en un ejercicio anterior. Por lo tanto, si la tasa de clic se analiza por sí misma sin comprender la dificultad del correo electrónico de phishing, la interpretación de los datos puede llevar a una falsa sensación de seguridad”, dijo NIST.

Si bien todos los datos que se utilizaron para alimentar la herramienta Phish Scale se han originado en el NIST, el instituto espera probar la herramienta en otras organizaciones y empresas para evaluar su funcionamiento. Una vez que puedan refinar la herramienta, esperan poder sacar Phis Scale del entorno de la investigación y ofrecerla para su utilización.

Fuente: www.welivesecurity.com