Los cibercriminales están intensificando su actividad para tratar de estafar, robar información y saquear.
Si hay algo seguro en el panorama de ciberamenazas es que cada año los atacantes están intensificando su actividad, buscando la manera de atraer a más víctimas y obtener mejores resultados. Lo curioso es que se valen de ataques como el phishing, cuyos inicios se remontan a hace unos 30 años, pero refinando sus técnicas y centrándose aún más en los usuarios.
¿Cómo siguen teniendo éxito? Simplemente porque es barato, fácil y eficaz al basarse en el envío de correos electrónicos como principal vector de ataque.
Expertos en manipular a los usuarios
El año pasado, nueve de cada 10 trabajadores en España recibió al menos un mensaje sospechoso en su bandeja de entrada. No obstante, según el informe ‘State of the Phish 2022’ de Proofpoint, el 57% de los usuarios confía en que su organización bloqueará automáticamente cualquier correo malicioso; y no es así.
Los ciberdelincuentes son expertos en manipular la psicología humana mediante la ingeniería social: a través de mentiras, falsificaciones o instrucciones engañosas, junto a ciertas dosis de miedo y urgencia, logran que los usuarios piquen y acaben revelando, sin pensarlo, información financiera, nombres de usuario y contraseña de acceso a distintos servicios y datos sensibles tanto propios como de las organizaciones para las que trabajan.
El phishing ha ido evolucionado hasta el punto de que el atacante configura su campaña de distinta manera, según mejor le convenga. Entre 2020 y 2021, las denuncias de casos de smishing y vishing se han incrementado en más de un 20% en el mundo, lo que subraya el afán de los ciberdelincuentes en atacar por diferentes cauces. Vamos a repasar algunas de las amenazas y técnicas más comunes en este ámbito, desde el spear phishing al smishing, el vishing o el spoofing.
‘Spear phishing’: a la caza de un objetivo determinado
A diferencia del phishing genérico, los mensajes de spear phishing se dirigen hacia un objetivo muy concreto, por lo que se personalizan con detalles del destinatario, según la información pública que esté disponible sobre el mismo, para que sea creíble y finalmente haga clic en algún enlace o descargue archivos maliciosos. A fin de ganarse su confianza, el ciberdelincuente puede hacerse pasar por un conocido o tratar un tema de su interés en el asunto del email, entre otras técnicas.
Todo esto requiere de mucho más esfuerzo, pero, de salir bien, los beneficios son mayores. Por lo general, estas campañas se dirigen a usuarios con acceso privilegiado a datos concretos dentro de una organización, como directivos, contables o personal de recursos humanos. Durante 2021, un 74% de organizaciones españolas experimentó al menos un ataque de phishing selectivo.
‘Smishing’: engaños por SMS
En esta variante masiva del phishing, el mensaje fraudulento llega en forma de SMS al teléfono de la víctima. Pese a que muchos usuarios sean ya conscientes del riesgo que supone hacer clic en enlaces en correos electrónicos, pocos reparan en ello cuando estos llegan por mensaje de texto. El smishing resulta muy lucrativo para atacantes deseosos de hacerse con credenciales, información bancaria y datos privados de los usuarios.
Entre los ganchos más habituales utilizados para engañar a la víctima en estos ataques están hacerle creer que ha ganado un premio, solicitarle que haga seguimiento de un paquete enviado a su nombre y pedirle que actualice las claves de acceso de su entidad bancaria para evitar que su cuenta se vea comprometida.
‘Vishing’: estafas de voz
Seguro que más de un usuario ha recibido una llamada en la que el propio teléfono alerta de un posible riesgo de spam. Dentro del phishing también se utilizan números telefónicos fraudulentos, software de modificación de voz e ingeniería social para engañar a los usuarios. Es habitual que los vishers envíen primero SMS masivos a sus víctimas potenciales, solicitándoles que hagan una llamada al atacante o bien creando un mensaje de voz automático o robótico que consiga generar confianza para pasarles después con un agente humano que siga con la estafa.
De dónde vienen estos ataques
A fin de engañar a más gente, los ciberdelincuentes no dudan en suplantar la identidad de personas conocidas por los destinatarios o de empresas establecidas cuya marca tiene ganada de sobra la confianza de los usuarios. A este método de ataque se le conoce como spoofing. Microsoft, Amazon, Apple o LinkedIn figuran entre las compañías más usadas por los atacantes como reclamo. Su simple aparición en el mensaje fraudulento aumenta la posibilidad de éxito de la estafa. Asimismo, como el objetivo principal del phishing es ganar dinero, los ciberdelincuentes suelen centrarse en sectores concretos, tanto en la organización en sí como en usuarios individuales, y principalmente relacionados con tiendas online, bancos, compañías de telecomunicaciones y envíos o redes sociales.
Cómo protegerse de estos fraudes
Los comportamientos de los usuarios ante un mensaje malicioso son impredecibles, de ahí que sea fundamental detectar estas amenazas con soluciones tecnológicas y combatirlas con formación.
Desde el punto de vista de la tecnología, existen herramientas capaces de detectar y clasificar correos de phishing, como es el caso, cuando las URL insertadas en el cuerpo del mensaje tienen una mala reputación. Pero algunas soluciones no consiguen siempre distinguir un mensaje fraudulento de otro que no lo es, sobre todo, si los emails están bien redactados e incluyen enlaces a páginas web legítimas, aunque comprometidas cuando ya se encuentran en el buzón de los usuarios.
Lo más eficaz es contar con sistemas que detecten mensajes sospechosos valiéndose del análisis de anomalías, en busca de patrones inusuales en el tráfico. Son herramientas de monitorización que ponen en cuarentena estos correos y, si se detecta una gran cantidad de mensajes, los administradores podrán alertar a los usuarios y disminuir las probabilidades de éxito del phishing.
Estar siempre en comunicación y formar a los usuarios en concienciación sobre las amenazas más recientes es clave para frenar este tipo de amenazas. Esto ayuda a reducir los riesgos y genera una cultura de ciberseguridad que permite a los usuarios reconocer cuándo un email que les llega a su bandeja de entrada es sospechoso. Esto se consigue poniéndoles al día con ejercicios y ejemplos reales, trabajando con expertos que hagan simulaciones de ataque para saber quién abre los correos y hace clic en los enlaces, y, lo más necesario, capacitándoles en mayor profundidad para que no cometan errores en futuros ataques. La ciberseguridad evoluciona sin cesar, sobre todo, en lo que respecta al phishing, por lo que es imprescindible no quedarse nunca atrás.
Tomado de 20 Minutos