“Una cadena es tan poderosa como su eslabón más débil” es una frase que define el entorno de ciberseguridad de cualquier organización. Lamentablemente, la mayoría de las veces el eslabón más débil de la organización son las personas, porque pueden ser objeto de técnicas de ingeniería social, basadas en el engaño.
Generalmente, la ingeniería social implica un archivo adjunto malicioso o un enlace sospechoso en el correo electrónico, que permitiría a los atacantes acceder a los datos o lanzar un malware. Los enlaces se pueden enmascarar para que parezcan legítimos, el malware se puede ocultar en PDF y DOC, la dirección de correo electrónico también se puede falsificar, las páginas web de inicio de sesión se pueden clonar, por lo que el arsenal de técnicas es grande y la innovación de los atacantes siempre va un paso por delante.
Chile ha sufrido bastantes ciberataques este año y muchos han comenzado con la ingeniería social, que permitió el acceso inicial y la propagación al resto de la red. Las empresas en Chile se enfrentan a técnicas avanzadas de ingeniería social que se basan en la confianza. Un ataque bien planeado incluye una fase de preparación, en la que el atacante recopila información sobre una empresa o persona para construir un escenario creíble, que le permitirá hacerse pasar por una persona que debería tener acceso a sus datos.
El spear-phishing es un intento dirigido de robar información confidencial, como credenciales de cuenta o información financiera de una víctima específica, a menudo por motivos maliciosos. Esto se logra mediante la adquisición de datos personales de la víctima, como sus amigos, ciudad natal, empleador, lugares que frecuenta y lo que compró recientemente en línea. Esta es la forma más exitosa de adquirir información confidencial en Internet y representa el 91% de los ataques.
El spear-phishing se puede confundir fácilmente con el phishing porque ambos son ataques en línea contra usuarios que tienen como objetivo adquirir información confidencial. El phishing es un término más amplio para cualquier intento de engañar a las víctimas para que compartan información confidencial como contraseñas, nombres de usuario y detalles de tarjetas de crédito por motivos maliciosos. Los atacantes a menudo se disfrazan como una entidad confiable y contactan a su objetivo por correo electrónico, redes sociales, llamadas telefónicas, SMS o una combinación de estos, dependiendo de la complejidad del ataque.
¿Cuáles son las diferencias?
A diferencia de los ataques de spearphishing, los ataques de phishing no están personalizados para sus víctimas y, por lo general, se envían a una gran cantidad de personas al mismo tiempo. El objetivo de los ataques de phishing es enviar un correo electrónico falso (u otra comunicación) que parezca ser de una organización auténtica a un gran número de personas, contando con las posibilidades de que alguien haga clic en ese enlace y proporcione su información personal o descargar malware.
Los ataques de spear-phishing se dirigen a una víctima determinada, y los mensajes se modifican para orientarse específicamente a esta, supuestamente provenientes de una entidad con la que está familiarizada, y contienen información personal.
El spear-phishing requiere más pensamiento y tiempo para lograrlo que el phishing. Los atacantes de spearphishing intentan obtener tanta información personal sobre sus víctimas como sea posible para que los correos electrónicos que envían parezcan legítimos y aumentar sus posibilidades de engañar a los destinatarios. Debido al nivel personal de estos correos electrónicos, es más difícil identificar los ataques de spear-phishing que identificar los de phishing realizados a gran escala. Es por eso que los ataques de spear-phishing son cada vez más frecuentes.
Los correos electrónicos de spear-phishing han mejorado en los últimos años y ahora son extremadamente difíciles de detectar sin conocimientos previos sobre la protección de esta amenaza. Los atacantes de spear-phishing se dirigen a las víctimas que ponen información personal en Internet. Pueden comprender las estructuras de una empresa desde el sitio web y LinkedIn y recopilar datos personales de Facebook e Instagram. Desde un perfil, podrán encontrar la dirección de correo electrónico, la lista de amigos, la ubicación geográfica de una persona y cualquier publicación sobre nuevos gadgets que se hayan comprado recientemente. Con toda esta información, el atacante podría actuar como un colega o una entidad familiar y enviar un mensaje convincente pero fraudulento a su objetivo.
Con el objetivo de aumentar las tasas de éxito, estos mensajes a menudo contienen explicaciones urgentes sobre por qué necesitan información confidencial. Se les pide a las víctimas que abran un archivo adjunto malicioso o que hagan clic en un enlace que las lleva a un sitio web falsificado donde se les solicita que proporcionen contraseñas, números de cuenta, PIN y códigos de acceso.
Una cultura de ciberseguridad
Para concluir, existe un peligro para todas las empresas. Una ingeniería social puede provocar un ransomware, pérdida de dinero, clientes y confianza. Se debe imponer una cultura de ciberseguridad a las empresas y se debe educar a los empleados sobre cómo comportarse en línea, explicando los peligros que pueden surgir de un solo clic y el efecto que una acción incorrecta puede tener en toda la empresa. La digitalización está aquí y no retrocederá, a medida que las compañías muevan más activos en línea, se volverán más vulnerables.
Una infraestructura tecnológica sólida no es suficiente si las personas no saben cómo protegerla, por eso a la hora de pensar estratégicamente en el futuro de una empresa, la ciberseguridad y la educación deben ser una prioridad. Educarse a sí mismo y a los demás para tener mucho cuidado con los enlaces y archivos adjuntos en los correos electrónicos, informar cualquier sospecha al personal de TI y eliminar información personal de las redes sociales, puede marcar una gran diferencia en la seguridad de una empresa.
Probar el nivel de conocimiento de los empleados de una empresa es tan importante como comprobar la infraestructura de red en busca de vulnerabilidades. En un mundo lleno de peligros se aconseja un enfoque proactivo para defenderse de una amenaza, la reactividad no sirve para el propósito, porque reacciona cuando el daño ya está hecho.
