El phishing lleva décadas entre nosotros, pero sigue siendo una de las principales ciberamenazas actuales, así como una de las de más rápido crecimiento. La actividad de phishing ya era un gran desafío antes de la pandemia de COVID-19, y no ha hecho sino empeorar desde entonces. Según el último informe anual sobre ciberdelincuencia del Internet Crime Complaint Center (IC3) del FBI, el número quejas presentadas en relación con timos de phishing y técnicas relacionadas aumentó un 182 % entre 2019 y 2021. Y esas cifras reflejan solamente los ataques de phishing denunciados; el número real es muchísimo mayor.
Se mire por donde se mire, los ciberdelincuentes están claramente consiguiendo su objetivo de aprovecharse de las vulnerabilidades humanas. Sin embargo, el estudio realizado en el marco el informe “State of the Phish de 2022” reveló que solo el 53 % de los empleados saben qué es el phishing.
El mensaje para las organizaciones: el phishing debe ser el eje central de su programa de concienciación en seguridad. Si lo más probable es que solamente la mitad de los usuarios sepa qué es el phishing, considere empezar su formación sobre este tema fundamental de concienciación en ciberseguridad con una explicación del término.
Acerca de esta serie
Las ciberamenazas actuales dependen de la interacción humana, no solo de exploits técnicos. De hecho, en el 82 % de las fugas de datos del informe sobre investigaciones de fugas de datos de 2022 de Verizon intervino el factor humano. Tal y como indica el informe, esta realidad “pone a las personas en el centro de la seguridad”. Los ciberdelincuentes recurren a la ingeniería social para engañar o amenazar a sus víctimas para que hagan clic en URL no seguras, abran adjuntos maliciosos, introduzcan credenciales, envíen datos confidenciales, transfieran fondos, etc.
Esta es la segunda entrega de nuestra serie de seis artículos de blog que abordan temas que las organizaciones deberían afrontar en su formación para concienciar en materia de seguridad con la mirada puesta en el mes para la concienciación en ciberseguridad que se celebra en octubre. En esta serie cubriremos los siguientes temas:
- Ingeniería social
- Phishing
- Business Email Compromise (BEC)
- Redes sociales
- Ransomware
- Amenazas internas
¿Qué es el phishing?
El phishing es un ejemplo de ingeniería social, que es un conjunto de técnicas (como la falsificación, el engaño y la mentira) que emplean los ciberdelincuentes para manipular la psicología humana.
Los mensajes de correo de phishing utilizan la ingeniería social para incitar a los usuarios a actuar rápidamente, sin pensarlo bien antes. Y cuando los ciberdelincuentes consiguen engañar a los usuarios con mensajes de phishing, la recompensa venir en forma de acceso a datos sensibles, a sistemas críticos y a redes, a cuentas cloud y, a menudo, a dinero.
Los mensajes de phishing se envían por correo electrónico. Sin embargo, algunos ciberdelincuentes distribuyen estos mensajes a sus víctimas a través de otros métodos, como el smishing y el vishing (utilizando mensajes de texto y software para alterar la voz y enviar mensajes SMS a los usuarios o ponerse en contacto con ellos mediante llamadas pregrabada).
Tres principales amenazas en los mensajes de phishing
Una vez que los usuarios tienen una mejor comprensión de lo que significa el phishing, describa algunas de las estrategias más habituales que utilizan los ciberdelincuentes para comprometer a los destinatarios de los mensajes de phishing:
Enlaces maliciosos
Los ciberdelincuentes a menudo utilizan URL maliciosas en mensajes de phishing. Cuando los usuarios hacen clic en un enlace malicioso, pueden acabar en el sitio web de un impostor, o en un sitio web infectado con malware (software malicioso). Los ciberdelincuentes suelen disfrazar estos enlaces en mensajes de phishing para que parezcan procedentes de fuentes de confianza. Las técnicas pueden incluir el uso de logotipos de empresas o el registro de dominios de correo electrónico similares a los de la marca o empresa de confianza.
Y con demasiada frecuencia, el ciberdelincuente consigue su objetivo. Nuestra investigación para el informe “State of the Phish de 2022” revela que 1 de cada 10 usuarios harán clic en un enlace malicioso en simulaciones de ataques de phishing.
Adjuntos infectados
Los adjuntos infectados con malware pueden comprometer ordenadores y archivos, y a menudo parecen adjuntos de archivos legítimos. En los ataques simulados de phishing que llevamos a cabo con los clientes, hemos constatado que 1 de cada 5 usuarios abrirá un adjunto de correo electrónico.
Es importante explicar a los usuarios el daño que puede provocar el phishing. Las infecciones de malware y el ransomware distribuido a través de un ataque de phishing puede propagarse por todos los dispositivos en la red, incluso a los sistemas cloud.
Solicitudes fraudulentas
Estas solicitudes están diseñadas para convencer al destinatario de correo electrónico a proporcionar información confidencial, como credenciales de inicio de sesión, información de tarjetas de crédito, etc. A menudo se presentan como una forma (por ejemplo, una autoridad fiscal que promete una devolución) para pedir al usuario que facilite información confidencial.
Una vez que el usuario cumplimenta y envía el formulario, los atacantes pueden utilizar esos datos para su propio beneficio.
Todos los ataques de phishing utilizan ingeniería social
Tal y como se ha señalado anteriormente, los ataques de phishing son una forma de ingeniería social. En su programa de formación para concienciar en materia de seguridad, debe atraer la atención hacia algunas de las formas mediante las que los ciberdelincuentes aprovechan la psicología humana para manipular a los usuarios, como:
- Hacerse pasar por algo o alguien que es probable que el usuario conozca o en quien confíe.
- Aprovechar emociones como el miedo (o incluso avivar el miedo a perderse algo) para motivar a los usuarios a actuar rápidamente.
- Realizar promesas atractivas que parezca n demasiado buenas para ser verdad (y sin duda lo son).
Además, los ciberdelincuentes a menudo intentan lanzar sus ataques cuando el usuario es probable que haya bajado la guardia, como cuando están cansados o distraídos. Muchos atacantes también estudian el ciclo de facturación de la empresa o se enteran de la celebración de reuniones importantes antes de lanzar un ataque de phishing.
Los impactos financieros del phishing para las empresas
Como parte de su programa sobre concienciación en seguridad de los usuarios, conviene que destaque algunos incidentes importantes para ayudar a subrayar el enorme coste que pueden tener los ataques de phishing para las empresas. Esta información puede ser particularmente atractiva para los ejecutivos. Debido a sus permisos de acceso y autoridad, se encuentran entre los tipos de usuarios más atacados o suplantados por los ciberdelincuentes en las campañas de phishing.
Estos son algunos ejemplos reales:
- En una propuesta de acuerdo por una fuga de datos masiva en 2021, una empresa de telecomunicaciones móviles de Estados Unidos acordó el pago de 350 millones de dólares a los clientes cuyos datos habían sido supuestamente revelados. El incidente afectó a más de 76 millones de clientes.
- Un ataque de phishing enviado a proveedores de un importante minorista de EE. UU. dio lugar a un pirateo masivo que reveló los datos personales y de tarjetas de crédito de más de 110 millones de clientes de la cadena. El minorista ha pagado desde entonces en torno a 300 millones de dólares en demandas judiciales relacionadas con el incidente.
- Un importante estudio cinematográfico perdió unos 100 millones de dólares tras una campaña de ataques supuestamente procedentes de Corea del Norte, y que dio lugar a una fuga masiva de datos. En el ataque se emplearon mensajes de phishing selectivo (ataques dirigidos enviados a determinadas personas de una organización) que parecían proceder de cuentas de redes sociales legítimas.
- Dos empresas tecnológicas líderes de Estados Unidos (una plataforma de redes sociales y un motor de búsqueda en Internet) perdieron más de 100 millones de dólares en un elaborado ataque de phishing. Los ciberdelincuentes llegaron al punto de crear una empresa falsa y utilizar mensajes de correo electrónico y facturas.
Temas creativos a los que deberían prestar atención los usuarios
Por supuesto que para que la formación para concienciar en materia de ciberseguridad tenga impacto en los usuarios, necesitan comprender de qué forma las estrategias de phishing pueden llegar incluso a tocarle el bolsillo a ellos mismos. Y con las fiestas navideñas a la vuelta de la esquina, es un momento ideal para ayudar a los usuarios a aprender a estar atentos a las tácticas de phishing relacionadas con:
- Compras online (mensajes del tipo “¡Haga clic aquí para hacer ahora su pedido y beneficiarse de un 60 % de descuento! Además, entrará en el sorteo de una compra gratuita por valor de 1000 euros en nuestro sitio web”).
- Organizaciones benéficas (mensajes del tipo “¡Ayude a paliar el hambre durante estas navidades; necesitamos ayuda urgentemente! Utilice el formulario para donar la cantidad que considere”).
- Empresas de envíos (mensajes del tipo “No hemos podido entregar su artículo. Revise la información de envío adjunta para confirmar los detalles de su pedido”).
Asimismo, alerte a los usuarios de los “timos de streaming”, mediante los que los ciberdelincuentes se hacen pasar por proveedores legítimos de servicios de streaming populares, con ofertas especiales (por ejemplo, “¡Un mes gratis!”) o intentan convencer a los usuarios de que deben actualizar rápidamente su cuenta (por ejemplo, “Actualice sus datos para reactivar su suscripción”).
Consejos para que sus usuarios identifiquen los intentos de phishing
Complete su formación sobre el tema de concienciación en ciberseguridad sobre el phishing con algún consejo fácil de poner en práctica que puede ayudar a los usuarios a evitar morder el anzuelo. Anímelos a:
- No confiar en el remitente inmediatamente, incluso si el mensaje parece proceder de una fuente o marca de confianza.
- Examinar la dirección del remitente, e inspeccionar los enlaces.
- Abrir una nueva ventana para comprobar el sitio web al que dirige el enlace.
- No hacer clic en llamadas a la acción dentro de un mensaje de correo electrónico, del tipo “verifique su cuenta” o “inicie sesión ahora”.
- Ser conscientes de que los enlaces para compartir archivos no son siempre seguros.
Y por último, instar a los usuarios a informar sobre todos los mensajes que consideren sospechosos. La denuncia de mensajes debería ser una parte fundamental de sus ciberdefensas, y herramientas como el botón de phishing PhishAlarm de Proofpoint facilita a los usuarios convertirse en defensores vigilantes y proactivos.
Próximamente: más temas sobre concienciación en seguridad de los usuarios
El siguiente artículo de esta serie estará dedicado a las estafas Business Email Compromise (BEC). Explicaremos por qué las organizaciones de todos los tamaños y sectores deben estar atentas a esta amenaza creciente. Y proporcionaremos consejos para formar a los usuarios sobre este tema fundamental de concienciación en seguridad.
Asimismo, le animamos a visitar el portal de concienciación en ciberseguridad de Proofpoint, donde encontrará más recursos que le ayudarán a enriquecer el programa de formación para concienciar en materia de seguridad de su organización. La formación para concienciar en materia de seguridad de Proofpoint también puede ayudarle a instaurar una cultura de seguridad que impulse un cambio positivo de comportamiento.