2.1 Por que el phishing es el riesgo numero 1 de Caltech
Segun la Evaluacion de Riesgos de Caltech (EVAL-TI-001), el phishing esta
clasificado como riesgo ALTO con prioridad de accion a corto plazo.
Es la amenaza mas probable y de mayor impacto que enfrenta nuestra empresa hoy.
Dato global
Mas del 90% de los ataques informaticos exitosos comienzan con un correo
de phishing. No hace falta ser un hacker experto — solo hace falta que una persona
haga clic en el enlace equivocado.
CALTECH S.A. es un blanco atractivo para atacantes por varias razones:
- Datos financieros: manejamos informacion de clientes, proveedores y operaciones comerciales en el ERP Versat
- Google Workspace corporativo: nuestros correos, documentos y archivos estan en @caltechagro.com
- Empresa regulada: como emisor de valores en la Bolsa de Asuncion, un ataque exitoso puede tener consecuencias legales y regulatorias
- Empleados distribuidos: con personal en distintas ubicaciones, es mas dificil verificar solicitudes en persona
Lo que dice la politica
La POL-TI-003 (Seccion 5.8) exige un programa de capacitacion que incluya
identificacion de amenazas: phishing, malware e ingenieria social.
Este modulo cumple exactamente ese requisito.
2.2 Tipos de phishing que debes conocer
El phishing tiene varias formas. Conocerlas te ayuda a detectar el ataque antes de caer en la trampa.
Email Phishing
Correos masivos enviados a miles de personas haciendose pasar por bancos, servicios conocidos
o empresas. El atacante espera que al menos algunos caigan.
Ejemplo: "Su cuenta de banco ha sido bloqueada"
Spear Phishing
Ataque dirigido a una persona especifica. El atacante investiga a la
victima (nombre, cargo, empresa) para crear un mensaje personalizado y convincente.
Ejemplo: "Hola Juan, adjunto el informe que me pediste ayer"
Smishing (SMS)
Phishing por mensajes de texto (SMS). Suele incluir enlaces acortados
y urgencia artificial como "confirme su entrega" o "su cuenta sera bloqueada".
Ejemplo: "Su paquete no pudo ser entregado: bit.ly/xyz"
Vishing (Voz)
Phishing por llamada telefonica. El atacante se hace pasar por soporte
tecnico, un banco o un proveedor para obtener informacion confidencial.
Ejemplo: "Llamamos del banco, necesitamos verificar su cuenta"
Recorda
El phishing no es solo por correo. Cualquier canal de comunicacion puede ser usado:
SMS, llamadas, mensajes de WhatsApp, e incluso documentos compartidos.
2.3 Las 7 senales de alerta de un correo falso
Antes de hacer clic en cualquier enlace o abrir un adjunto, revisa estas 7 senales.
Si detectas al menos una, no interactues con el correo y reporta a TI.
1. Remitente sospechoso
El nombre visible puede decir "Soporte Caltech" pero el email real es
admin@caltech-soporte.xyz.
Siempre revisa la direccion completa, no solo el nombre.
2. Urgencia artificial
"Tu cuenta sera bloqueada en 24 horas", "Accion inmediata requerida".
Los atacantes usan el miedo y la prisa para que actues sin pensar.
3. Errores gramaticales u ortograficos
Correos oficiales de empresas serias no tienen errores de ortografia evidentes.
Si ves "verfique", "imediatamente" o frases sin sentido, desconfia.
4. Links que no coinciden con el dominio real
Pasa el cursor sobre el enlace sin hacer clic. Si dice
verify-caltechagro.malicious-site.com
en vez de caltechagro.com, es falso.
5. Solicitud de datos sensibles
Ningun servicio real te pedira tu contrasena, numero de tarjeta o datos bancarios
por correo electronico. Nunca compartas credenciales por email.
6. Adjuntos inesperados
Archivos .exe, .zip, o documentos de Word/Excel con macros
de remitentes desconocidos pueden contener malware. No abras nada que no esperabas.
7. Saludo generico
"Estimado usuario" o "Querido cliente" en vez de tu nombre real.
Un correo legitimo de tu empresa o banco generalmente usa tu nombre.
2.4 Ejemplos reales: como se veria un phishing contra Caltech
Estos son ejemplos ficticios pero realistas de como un atacante podria
intentar enganar a un empleado de Caltech. Observa las senales de alerta marcadas en rojo.
Ejemplo 1: Login falso de Versat (ERP)
Estimado usuario,
Detectamos actividad sospechosa en su cuenta de Versat. Para evitar la
suspension permanente de su acceso, verifique su identidad
inmediatamente haciendo clic en el boton de abajo.
⚠ Amenaza + credenciales
Verificar mi cuenta ahora
Link real: http://versat-login.malicious-site.ru/verify
⚠ URL falsa
Senales: Dominio incorrecto (versat-erp.com no es el real),
urgencia artificial, solicita credenciales, URL apunta a sitio externo.
Ejemplo 2: Alerta falsa de Google Workspace
Estimado administrador,
Hemos detectado un inicio de sesion sospechoso en su cuenta de Google Workspace
desde una ubicacion no reconocida. Para proteger su cuenta, verifique su
identidad dentro de las proximas 12 horas.
⚠ Plazo artificial
Verificar mi cuenta de Google
Link real: https://accounts-google.workspace-verify.net/auth
⚠ URL falsa
Senales: El dominio google-workspace.support
no es google.com. Urgencia con plazo. La URL real lleva a un sitio externo.
2.5 Ingenieria social: el engano va mas alla del correo
La ingenieria social es el arte de manipular a las personas para que revelen
informacion confidencial o realicen acciones peligrosas. No siempre es digital — puede
ocurrir en persona o por telefono.
Pretexting (escenario inventado)
El atacante inventa una historia creible para ganarse la confianza de
la victima y obtener informacion o acceso.
Escenario Caltech: Alguien llama por telefono diciendo "Soy del area de TI de la
oficina central, necesito tu contrasena de Versat para hacer una migracion urgente
del sistema". En realidad, TI nunca pide contrasenas por telefono.
Tailgating (acceso fisico no autorizado)
El atacante sigue a una persona autorizada para entrar a un area
restringida sin identificarse.
Escenario Caltech: Una persona con aspecto profesional te pide que le abras la
puerta de acceso porque "olvido su tarjeta". Podria ser un atacante buscando acceso
a equipos o documentos.
Baiting (carnada)
El atacante deja un dispositivo infectado (USB, disco externo) en un
lugar visible para que alguien lo conecte a su equipo por curiosidad.
Escenario Caltech: Encontras un USB con la etiqueta "Sueldos 2026" en el
estacionamiento. Al conectarlo a tu computadora, un malware se instala
automaticamente y le da acceso al atacante a toda la red.
Regla de oro
Si algo te parece raro — una llamada inesperada, una persona desconocida pidiendo acceso,
un USB abandonado — no actues y contacta a TI.
2.6 Guia de accion: que hacer y que NO hacer
Segun la Politica de Uso Aceptable (POL-TI-002, Seccion 4.3) y el
Procedimiento de Gestion de Incidentes (PROC-TI-001), estas son las
acciones correctas e incorrectas ante un posible ataque.
QUE HACER
-
✓
Verificar el remitente real (hacer clic en el nombre para ver la direccion completa)
-
✓
Pasar el cursor sobre links antes de hacer clic (sin hacer clic)
-
✓
Reportar al area de TI inmediatamente — Nicolas Kalany: 0983 186 360 / nicolas.kalany@caltechagro.com
-
✓
Eliminar correos sospechosos despues de reportar
-
✓
Preservar evidencia (capturas de pantalla) antes de eliminar
QUE NO HACER
-
✗
Abrir adjuntos de remitentes desconocidos o sospechosos
-
✗
Hacer clic en links de correos no solicitados
-
✗
Compartir credenciales por correo, telefono o mensaje
-
✗
Reenviar correos sospechosos a companeros
-
✗
Conectar USBs desconocidos a tu equipo
Contacto de emergencia (PROC-TI-001)
Ante cualquier sospecha de phishing o incidente de seguridad, contacta a:
Nicolas Kalany Costa — Responsable de TI
Telefono: 0983 186 360 | Email: nicolas.kalany@caltechagro.com
2.7 Ejercicio: Es phishing o es legitimo?
Analiza cada mensaje y decide si es un intento de phishing o un mensaje legitimo.
Despues de responder, la tarjeta se voltea mostrando la respuesta correcta y la explicacion.
Este ejercicio es solo de practica y no cuenta para tu nota.