Cómo los atacantes utilizan el spear-phishing dirigido para evadir las defensas de ciberseguridad.

Suplantación de identidad

Tiene un problema de spear-phishing? Más importante aún, ¿lo sabrías si lo supieras? ¿Y cómo lidiarías con un incidente? Hago estas preguntas porque la cantidad de ataques de spear-phishing continúa aumentando y las tácticas utilizadas por los atacantes están evolucionando para ser cada vez más selectivas y evadir incluso las mejores defensas. 

Dentro del contexto de la pandemia, hemos identificado cada vez más a los estafadores que utilizan el miedo y la preocupación asociados con Covid-19 para impulsar campañas de phishing y, quizás de manera más prominente ahora, los piratas informáticos se han unido con mayor vigor al programa de vacunación. Estos ataques de spear-phishing pueden ser altamente personalizados y altamente sofisticados, y ahora están diseñados para navegar por medidas básicas de defensa cibernética y utilizar indicadores visuales de seguridad, como códigos reCAPTCHA en sitios de phishing, marcas oficiales y servicios de correo electrónico legítimos, todo con el propósito de convencer a las víctimas de que ingresen su información personal.

Todo lo que se necesita es una contraseña y una dirección de correo electrónico comprometidas antes de que los datos de toda una organización estén en riesgo. Este problema se ve agravado regularmente por la mala práctica de las contraseñas por parte de los empleados, ya que permite a los atacantes saltar de una cuenta a otra, infiltrándose en varias cuentas e innumerables cantidades de datos confidenciales. El trabajo remoto también ha aumentado la superficie de ataque potencial para los ciberdelincuentes, muchos de los cuales buscarán capitalizar los errores cometidos por empleados que no están capacitados en medidas de seguridad básicas o que no están familiarizados con entornos de trabajo y comunicación 100% digitales.

Sin embargo, sigo viendo un nivel alarmante de ingenuidad y complacencia sobre la amenaza que representa el spear-phishing para las organizaciones. Mucha gente todavía piensa en la amenaza como los correos electrónicos de phishing estereotipados que son detectados por el filtrado de la puerta de enlace de seguridad del correo electrónico.

Aumentan los ataques dirigidos 

La realidad es muy diferente. Una investigación reciente de Barracuda analizó más de 2,3 millones de ataques de phishing dirigidos a 80.000 organizaciones en todo el mundo durante tres meses el año pasado. Muestra que los ataques de spear-phishing dirigidos están creciendo en volumen y complejidad, al igual que el impacto que tienen en las empresas. En particular, hay un aumento de tácticas más específicas y sutiles, como la suplantación de identidad de marca, el secuestro de conversaciones y el compromiso del correo electrónico empresarial (BEC).

BEC, donde los piratas informáticos se hacen pasar por un empleado, proveedor u otra persona de confianza, es una de las tácticas de spear-phishing de más rápido crecimiento. Estos son un aumento del 7 por ciento de todos los ataques de spear-phishing al 12 por ciento a fines de 2020. Por lo general, el objetivo de este tipo de ataques es establecer confianza y obtener una respuesta de la víctima en lugar de simplemente hacer que haga clic en un URL maliciosa: como se ve por el hecho de que solo el 30 por ciento de los ataques BEC incluyen una URL.

Una vez dentro, el pirata informático puede usar una cuenta de correo electrónico comprometida para comunicarse legítimamente con esa organización y convencer a las personas de que tomen medidas en relación con elementos, como transferir dinero a una cuenta bancaria ilegal.

Dentro de un incidente de spear-phishing 

Tomemos el ejemplo de una empresa a la que fui a ver que estaba convencida de que no tenía ningún problema de spear-phishing. De ninguna manera, en absoluto, nosotros no. Usando nuestro escáner de amenazas de correo electrónico, encontramos algunos resultados alarmantes que mostraban la verdadera escala del problema de la empresa. 

Una cuenta de correo electrónico de la empresa había sido comprometida por un ataque de spear-phishing varios meses antes. El atacante luego se sentó dentro de esa cuenta de correo electrónico e interactuó sin ser detectado con los proveedores para que se pagaran las facturas en diferentes cuentas bancarias. El atacante había logrado ingresar a más de 15 cuentas de correo electrónico diferentes dentro de la empresa a través de un movimiento lateral, donde un atacante usa una cuenta de correo electrónico comprometida para apuntar a otros usuarios internamente dentro de una organización. Estos ataques son especialmente difíciles de detectar porque provienen de cuentas de correo electrónico legítimas internas y parecen provenir de un colega de confianza.

Es un ejemplo de cómo el spear-phishing puede tener un gran impacto en el negocio y este no es de ninguna manera un incidente aislado. 

Cómo responder y enfrentar la amenaza 

La pregunta más importante es cuál es la mejor manera de defenderse contra esta creciente amenaza de phishing y cómo responder a los incidentes que inevitablemente eludirán las defensas y pasarán desapercibidos. Los fundamentos son una buena defensa de la bandeja de entrada y la respuesta a incidentes, pero hay otros tres elementos críticos:

1. Control de acceso a la red de confianza cero

El propósito de un entorno de confianza cero es limitar el alcance de qué o quién puede acceder a su entorno. Tener un control de acceso de confianza cero significa que incluso si una cuenta de correo electrónico se ve comprometida por un ataque de spear-phishing, un hacker no puede usar esa cuenta como un trampolín hacia otras cuentas y partes de la organización. Esto significa no solo el control de acceso a su red interna, sino también a sus aplicaciones en la nube, como Microsoft Office 365, que está esencialmente abierto al mundo a menos que lo sujete con los controles adecuados. 

2. Varias capas de seguridad del correo electrónico

La defensa en profundidad es un término de uso común, pero es una de las formas más efectivas de abordar estas amenazas. Para el correo electrónico, esto incluye la puerta de enlace de seguridad del correo electrónico más importante, así como herramientas más nuevas, como la defensa de la bandeja de entrada y la protección contra el phishing. Muchas organizaciones todavía no tienen esas capas adicionales o tienen la idea errónea de que su puerta de enlace de seguridad de correo electrónico lo hace todo (por cierto, no es así). Anuncio publicitariohttps://e5dedde4e531aa2bc931ae8ba2116544.safeframe.googlesyndication.com/safeframe/1-0-38/html/container.html

3. Educación

Su personal es una parte clave de sus defensas de seguridad, así que asegúrese de que estén al tanto de los riesgos de spear-phishing y de que los tengan en mente todos los días. Capacite al personal para que reconozca y notifique los ataques y comprenda el impacto que pueden tener en la organización. No trate la capacitación en conciencia de seguridad como una marca de verificación una vez al año. Debe educarlos continuamente y someterlos a ejercicios de ataque simulado, así como concienciación general a través de carteles en las paredes y pancartas en las intranets corporativas. La capacitación también debe ser obligatoria y personalizada para cada empleado para fomentar la participación y el compromiso activo con cada sesión, en toda la organización habrá niveles de habilidades de seguridad y puntos débiles muy diferentes, y analizar, informar y resolver las inconsistencias de seguridad entre los empleados será clave para proteger tu negocio.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *