El panorama de amenazas ha crecido y evolucionado hasta alcanzar una increíble sofisticación en los últimos años. Eso sí, para la mayoría de los ciberdelincuentes, el objetivo de ataque sigue siendo el mismo: las personas.
antilavadodedinero / 20minutos
Ya sea phishing, robo de credenciales, fraude del CEO (BEC) o estafas con facturas, entre otros, los atacantes emplean tácticas y técnicas diseñadas para engañar a usuarios y que estos hagan clic o descarguen archivos maliciosos por error.
Por supuesto, cuanto más se conozcan estas técnicas, mejor se podrá mantener a las amenazas a raya. Pero no es tan sencillo. Cuanto mejores son los equipos de seguridad para detectar y disuadir las tácticas de ingeniería social, más evolucionan los métodos de los ciberdelincuentes. El resultado es una desconexión entre la forma en que esperan los equipos de seguridad que se comporten los atacantes y cómo estos interactúan realmente con los usuarios.
A continuación, cinco conceptos erróneos que exponen a mayores riesgos en ciberseguridad, quedando más que patente que la defensa ante las amenazas de ayer no sirven ya para hoy.
1. Los ciberdelincuentes no establecen una relación con los usuarios antes del ataque
Pese a que la confianza y la autenticidad son cruciales para que un ataque de ingeniería social tenga éxito, muchos creen que los ciberdelincuentes dedican poco tiempo a construir una relación con sus víctimas. Precisamente es todo lo contrario: los atacantes empiezan por enviar correos o entablar conversación con los usuarios de manera afable para generar una falsa sensación de seguridad.
Una vez que haya confianza entre ellos, los atacantes toman la iniciativa pidiendo ayuda de forma urgente, solicitando cambios en informaciones de pago y extrayendo credenciales valiosas. Cada mes se identifican y bloquean alrededor de 80.000 correos electrónicos con estas peticiones, siendo una táctica habitual tanto de ciberdelincuentes solitarios como de grupos patrocinados por Estados como Irán, Rusia o Corea del Norte.
2. Los servicios legítimos son siempre seguros
Con Google, Microsoft y Dropbox siempre dispuestos a reforzar su seguridad, no es de extrañar que muchos crean que sus plataformas se libran de la ingeniería social; y nada más lejos de la realidad.
Los ciberdelincuentes abusan regularmente de servicios legítimos para recopilar credenciales y distribuir malware, a sabiendas de que esto da un aire de credibilidad a sus mensajes maliciosos. El año pasado se rastrearon casi 1.000 campañas que usaban estos servicios, lo que representa alrededor del 14% de todas las campañas analizadas.
En estas campañas se utilizaron sobre todo URLs relacionadas con Google, mientras que las amenazas con URLs supuestamente de Microsoft obtuvieron más del doble de clics. Por lo general, OneDrive es el servicio del que más abusan los ciberdelincuentes de primer nivel, seguido de Google Drive, Dropbox, Discord, Firebase y SendGrid.
3. Los atacantes no utilizan el teléfono
En contra de la creencia generalizada, las amenazas por correo electrónico no se hacen solo con ordenadores. Es cierto que la comunicación digital casi siempre está implicada en los ataques de ingeniería social modernos, pero no es raro que el email sea simplemente el punto de partida.
En 2021 se produjo un aumento significativo de los ataques perpetrados por ciberdelincuentes que se aprovechan de un sólido y amplio ecosistema de amenazas por correo electrónico en los que también se hacen llamadas telefónicas. En estos casos, los emails no contienen archivos adjuntos o enlaces maliciosos, sino que, en su lugar, engañan a las víctimas para que llamen a un número de atención al cliente falso donde los ciberdelincuentes seguirán con su amenaza. Al teléfono, les convence para que entren en webs fraudulentas o descarguen software de asistencia en remoto en sus dispositivos. Los ciberdelincuentes aprovechan estos accesos para robar dinero o credenciales y distribuir malware. Al día pueden detectarse más de 250.000 de estas amenazas.
4. Si se responde a un correo existente, no hay riesgo de ingeniería social
Constantemente se advierte a los usuarios de que deben estar atentos a cualquier cosa inusual o sospechosa en su correo. Un email nuevo de un remitente nuevo puede que haga saltar las alarmas antes que una respuesta a un hilo de correo existente. Los ciberdelincuentes son conscientes de ello y, por eso, emplean técnicas como phishing o malware para llegar a la bandeja de entrada.
Una vez dentro, secuestran las conversaciones con enlaces y archivos adjuntos maliciosos o solicitudes para que las víctimas realicen acciones. Como la dirección de correo electrónico, el dominio y el remitente son conocidos por la víctima, es mucho más probable que acceda. Este método de ataque es especialmente popular en amenazas BEC para fraudes con facturas y pagos.
5. Solo se usan contenidos sobre empresas
No cabe duda que las empresas son objetivos de ataque más valiosos que un simple individuo. Por eso, los correos de uso profesional se enfrentan a un aluvión de amenazas todos los días. Sin embargo, aunque los atacantes tengan en el punto de mira las arcas de empresas y sus datos, saben que para llegar a ellos tienen que pasar por los empleados, y estos son humanos.
Cada año los ciberdelincuentes se aproximan a usuarios mediante señuelos de actualidad, ya sean noticias, acontecimientos o cualquier cosa que pueda despertar su interés. La temática puede variar desde fechas tan señaladas como Navidad y el Día de San Valentín hasta la pandemia por la Covid-19 o la declaración de la renta. En otros muchos casos es algo más trivial. El año pasado, por ejemplo, se distribuyó malware aprovechando el éxito de la serie de Netflix El juego del calamar, mediante mensajes en los que los ciberdelincuentes invitaban a las víctimas a ver supuestamente la segunda temporada de capítulos de forma anticipada.
Adelantarse a la ingeniería social
Aunque no se sepan los métodos exactos que emplearán los ciberdelincuentes el día de mañana, con toda seguridad la ingeniería social seguirá siendo durante mucho tiempo un arma imprescindible en su arsenal. ¿Por qué? Porque funciona.
Los ciberdelincuentes repiten cualquier táctica que haya tenido éxito previamente. Por esta razón, se espera que siga habiendo señuelos de phishing y BEC sobre días festivos o eventos como el cierre de año fiscal. También se seguirán utilizando documentos con los que los usuarios trabajan a diario, como hojas de cálculo, facturas y otros archivos, para engañarlos y distribuir payload malicioso. Pero, sobre todo, está claro que los ataques seguirán centrándose en el punto más débil de la defensa: las personas. Por tanto, hay que reforzar su concienciación sobre seguridad.
Es necesario impartir, principalmente en empresas, una formación periódica, continua y específica en materia de seguridad. El objetivo es crear una cultura en la que todos sean conscientes del papel que desempeñan en la defensa frente a ciberataques, y las graves consecuencias de no hacerlo.
Cuando aumenta la concienciación en ciberseguridad, el comportamiento cambia; y son esos comportamientos —un solo clic, una respuesta apresurada o aceptar una acción— los que ponen a las organizaciones, a las personas y a los datos en mayor riesgo.