Los ataques de phishing tienen que ver tanto con la manipulación del comportamiento humano como con la tecnología. Esta afirmación resume por qué es tan difícil evitar las campañas de phishing que dan lugar a ransomware, robo de credenciales y otros ciberataques.
En la década de los 70, hubo una campaña de conducción bajo los efectos del alcohol con el lema "Piensa, antes de beber, antes de conducir". Fue una campaña eficaz, que ayudó a reducir los accidentes de tráfico relacionados con el alcohol en el Reino Unido. Hacer que la gente "piense" antes de actuar no es tan fácil como parece. De hecho, las campañas de phishing se basan en no pensar y tener una reacción instintiva ante un correo electrónico. El phishing es un asunto serio, y un informe reciente revela que el 95% de los responsables de TI creen que los datos están en peligro por el canal del correo electrónico.
Entonces, ¿cómo puede la empresa media esperar tener el mismo éxito que la campaña de conducción bajo los efectos del alcohol de los años 70 cuando se trata de contrarrestar los trucos bajo la manga de un ciberdelincuente?
Ataques de phishing y comportamiento humano
Esta dificultad en la prevención se refleja en el éxito de los ataques de phishing: En el año 2019, previo a la pandemia, las estadísticas de phishing eran espantosas, y la compañía de seguros Beazley encontró un aumento del 105% en los ataques de ransomware en el primer trimestre de 2019. Pero en 2020 los ataques de phishing se salieron de la escala. El FBI publicó un informe que mostraba que el phishing era, con diferencia, el más frecuente de los delitos denunciados a su sección de quejas, el IC3. Una de las fuerzas impulsoras del éxito del phishing durante los últimos 12 meses ha sido la pandemia de Covid-19, que proporcionó oportunidades en abundancia a los phishers para explotar el comportamiento humano: esto se evidencia en un asombroso aumento del 30.000 % en las amenazas basadas en Covid-19 durante 2020; la mayoría de estos ataques utilizaron sitios web maliciosos y correos electrónicos de phishing.
El phishing (y sus variantes, Vishing/Smishing/Pharming) es un vector de ataque frecuente porque la técnica funciona. Funciona porque utiliza el comportamiento humano natural para llevar a cabo una acción que beneficia al ciberdelincuente que está detrás del ataque. Ser capaz de manipular a una persona legítima para que realice una acción ilegítima es el sello distintivo de la estafa, incluso antes de la llegada de las tecnologías modernas. Pero la tecnología puede embaucar incluso a los usuarios más experimentados, ya que los patrones de uso de la tecnología se "codifican" a medida que nos familiarizamos con un sistema.
El correo electrónico, por ejemplo, es una tecnología cotidiana que utilizamos continuamente. En 2020, se enviaron y recibieron 306,4 millones de correos electrónicos al día. Abrir un correo electrónico y hacer clic en un enlace es casi una segunda naturaleza, un comportamiento instintivo para una tarea habitual. Es esta repetición, y la falta de reflexión necesaria para la acción, en lo que se centra el phisher.
5 características típicas del phishing
Los ataques de phishing quieren atrapar a las personas antes de que piensen demasiado. Para ello, las campañas deben asegurarse de que se cumplen ciertos criterios y se optimizan las circunstancias:
- Fuente de confianza: Una forma de eliminar el proceso de pensamiento es hacer que el destinatario del correo electrónico se sienta seguro. Las campañas de phishing suelen hacerse pasar por marcas conocidas. En un estudio sobre las marcas que utilizan los phishers, Microsoft aparece repetidamente como una de las marcas favoritas de los phishers para suplantar. Otras marcas suplantadas son Netflix y PayPal.
- La atracción del clic: Aunque el 79% de la gente dice que puede reconocer un correo electrónico de phishing, casi la mitad sigue haciendo clic en un enlace de un correo electrónico sospechoso. Es probable que este comportamiento se deba a la formación implícita que todos hemos recibido para utilizar contenidos preparados para Internet. Hacer clic es casi una respuesta pavloviana cuando un correo electrónico contiene un enlace. Los diseñadores de experiencia de usuario (UX ) han utilizado este tipo de condicionamiento para ayudar a las personas a utilizar la tecnología con mayor facilidad; los ciberdelincuentes utilizan la misma manipulación psicológica para conseguir que hagamos clic en un enlace de phishing para iniciar la siguiente fase del mismo.
- Dirigir por tareas: Mantener el correo electrónico centrado en una tarea sencilla ayuda a eliminar el proceso de pensamiento. Las tareas repetitivas y reconocidas, como el restablecimiento de contraseñas, son las favoritas de los estafadores. Esto permite hacer ese importante "clic" sin pensar demasiado en las posibles consecuencias. Si la tarea está relacionada con el trabajo, es más probable que se haga el clic y se inicie el evento de phishing.
- La urgencia: A menudo, los correos electrónicos de phishing contendrán algún tipo de conductor para impulsar el comportamiento de clic automático. Estos impulsores suelen ser la amenaza de una disciplina o la preocupación por una acción, como el pago de una factura. Algunas campañas de phishing son muy selectivas (Spear phishing). Estas campañas suelen hacerse pasar por un director general; el falso director general envía entonces un correo electrónico al departamento de contabilidad solicitando urgentemente la transferencia de dinero a una cuenta bancaria. La cuenta es, por supuesto, propiedad de un estafador.
- Sobrecarga de trabajo: Un estudio sobre los hospitales objeto de campañas de phishing concluyó que el personal con exceso de trabajo era más propenso a hacer clic en un enlace de phishing. Si no tienes tiempo para pensar, te decantarás por la respuesta automática.
Una nota sobre los ataques de spear phishing. Este tipo de phishing requiere un nivel de reconocimiento más profundo para enviar correos electrónicos de phishing más convincentes al objetivo. Este nivel de detalle hace que los correos electrónicos de spear phishing sean aún más difíciles de detectar para los empleados. En consecuencia, los ataques de spear-phishing por correo electrónico aumentaron un 667% durante la pandemia de Covid-19.
Cómo hacer que un empleado haga clic en un enlace de phishing
Los ciberdelincuentes son magistrales a la hora de crear las condiciones para que una campaña de phishing tenga éxito. Utilizando todos los trucos para hacer que un usuario haga clic, como falsas marcas de confianza, para convertir al usuario en un cebo fácil. Un ejemplo de esto fue una artimaña de phishing de Office 365 en 2020. Tenía todos los elementos que manipulan a los usuarios para que hagan clic antes de pensar:
- Se enviaron a los empleados correos electrónicos falsos con la apariencia de Microsoft Office 365.
- El correo electrónico tenía el título "Formación COVID-19 para empleados: Un certificado para lugares de trabajo saludables". Se animaba a los empleados a actuar en el correo electrónico por motivos de trabajo.
- Se pedía a los destinatarios del correo electrónico que hicieran clic en un enlace que les llevaba a una página falsa de inicio de sesión de Office 365: la página parecía idéntica a una página real de Office 365.
- Se pedía al usuario que introdujera sus credenciales de Office 365 para iniciar sesión y recibir el certificado. Si lo hacían, esas credenciales eran robadas y luego utilizadas para iniciar sesión en el portal real de Office 365.
Cómo evitar que un empleado haga clic en un enlace de phishing
La prevención de los comportamientos codificados requiere una formación de sensibilización especializada. Los tecnólogos han diseñado los sistemas para que sean fáciles de usar y para que hacer clic sea una acción fácil, esta respuesta de auto-clic debe romperse para evitar el éxito del phishing. Al proporcionar una prueba de phishing controlada y bien pensada, una organización puede ayudar a cambiar el comportamiento del que dependen los ciberdelincuentes. Las pruebas de phishing simuladas crean un entorno seguro para formar a los usuarios en las formas sutiles en que los phishers manipulan su comportamiento, de modo que puedan tener cuidado con esos trucos. Como parte de un programa más amplio de concienciación sobre la seguridad, la simulación de phishing es eficaz para prevenir el éxito del phishing que resulta en el robo de credenciales, la exposición de datos y la infección de ransomware.