El phishing sigue siendo la principal amenaza para la ciberseguridad, responsable de casi un tercio de todas las violaciones de datos del mundo. Pero como todo en el campo de la tecnología, las estafas de phishing evolucionan rápidamente, tanto en lo que se refiere a las herramientas que se utilizan como a la astucia con que se diseñan.
Pero hay esperanza. Las nuevas tecnologías y el simple sentido común pueden evitar que usted y sus empleados se conviertan en víctimas.
El phishing es un problema creciente
Según el informe 2019 Data Breach Investigations de Verizon, el 32% de todas las violaciones de datos comienzan con un ataque de phishing, y casi tres cuartas partes de ellos implican el uso de código malicioso o técnicas de acceso de puerta trasera para comprometer información confidencial o interrumpir las operaciones de datos.
Y lo que es aún más preocupante, más del 40% de los ataques se lanzan contra pequeñas empresas, lo que contradice el mito de muchas organizaciones de que son demasiado pequeñas para merecer la atención de los piratas informáticos.
El correo electrónico sigue siendo el principal vector de ataque para la mayoría de las estafas de phishing. Según Beyond Security, uno de cada 99 correos electrónicos es un intento de phishing. Pero mientras que el ransomware y los ataques de denegación de servicio distribuido (DDoS) dirigidos a bases de datos y sitios web seguirán siendo probablemente las principales amenazas en los próximos años, cosas como la inyección SQL y la manipulación de cadenas de consulta están ganando popularidad.
Con ellas se puede modificar una base de datos o insertar código ejecutable en una aplicación para causar estragos en su funcionamiento u obtener acceso a los datos.
Hasta ahora, sin embargo, los ataques de phishing han tendido a ser de naturaleza aleatoria y algo formulista. Por ejemplo, difunden notificaciones falsas de cuentas de Apple o solicitudes de altos ejecutivos a una amplia franja de objetivos, incluso a personas que no tienen esas cuentas o que tienen poca o ninguna interacción con los altos mandos.
El spear phishing no está diseñado para engañar a todo el mundo, sólo a unos pocos
El spear fishing es un peligroso tipo de phishing en el que el hacker investiga a un objetivo para enviarle un mensaje altamente personalizado y a menudo convincente.
Un informe de Barracuda Networks identifica el spear phishing como el primer paso de una trama a menudo compleja para hacerse pasar por marcas o personas e incluso atrapar a ejecutivos en esquemas de sextorsión u otros chantajes.
“Los correos electrónicos de spear phishing no siempre incluyen enlaces o archivos adjuntos maliciosos”, afirma el informe.
“Como la mayoría de las técnicas tradicionales de seguridad del correo electrónico se basan en listas negras y análisis de reputación, estos ataques consiguen penetrar. Los ataques suelen utilizar técnicas de suplantación de identidad e incluyen enlaces de “día cero”, URL alojadas en dominios que no se han utilizado en ataques anteriores o que se han insertado en sitios web legítimos secuestrados; es poco probable que las tecnologías de protección de URL los bloqueen”. Los ciberdelincuentes también aprovechan las tácticas de ingeniería social en sus ataques, como la urgencia, la brevedad y la presión, para aumentar las probabilidades de éxito”.
Además, es más probable que este tipo de ataques empleen inteligencia artificial y grandes cantidades de potencia de cálculo para crear fraudes creíbles. Por esta razón, para frustrar el spear phishing se necesitarán soluciones específicas capaces de analizar los patrones de comunicación para identificar rápidamente las anomalías.
Al mismo tiempo, serán necesarias herramientas de recuperación de cuentas, teniendo en cuenta que cada vez más ataques de spear phishing se generan a partir de cuentas previamente comprometidas, mientras que la autenticación y notificación DMARC es también una buena defensa para contrarrestar la suplantación de dominios y el secuestro de marcas.
Sistemas y prácticas
A un nivel más amplio, por supuesto, las organizaciones deberían pensar en actualizar sus posturas de seguridad no sólo con las últimas tecnologías, sino con nuevas mentalidades que reconozcan la inutilidad de una protección al 100%. En el futuro, se justifica un mecanismo de respuesta más flexible y dinámico, que pueda intervenir rápidamente para proteger los sistemas y datos críticos, manteniendo al mismo tiempo al mínimo las interrupciones operativas.
Lo más probable es que esta nueva base tenga que emplear lo último en inteligencia artificial (AI) y aprendizaje automático (ML) para garantizar que se mantiene alerta frente a las amenazas emergentes.
Pero tampoco hay que pasar por alto las muchas formas de protegerse con baja tecnología, afirma Neil Feather, de SiteLock. Formar a los empleados para que detecten los correos electrónicos falsos es quizá la medida más eficaz contra el phishing. Incluso las estafas más sofisticadas contienen señales de alarma que deberían hacernos reflexionar.
Por ejemplo, direcciones de correo electrónico de retorno de aspecto extraño o enlaces que conectan con sitios web poco habituales, solicitudes de datos personales u otra información sensible (sobre todo cuando existen normas que prohíben este tipo de intercambio) y correos electrónicos de personas o empresas con las que el empleado rara vez o nunca interactúa.
Y en muchos casos, el correo electrónico fraudulento contendrá errores tipográficos, mala gramática u otras señales de advertencia, sobre todo cuando el autor es un hablante no nativo, como suele ser el caso.
No es probable que el phishing desaparezca. Pero aunque los titulares de los últimos ciberataques han sido siniestros, la buena noticia es que el mundo ha despertado por fin al peligro que supone el phishing.
Y con cualquier cambio a mejor, el primer paso es reconocer el problema.