Según una investigación de Beaming, en 2021 las empresas británicas tuvieron que hacer frente a un intento de violación de datos cada 47 segundos. El informe continúa destacando que el trabajo a distancia ha sido una oportunidad para aumentar los ciberataques. Esto es notable, ya que según el Informe de Investigación de Violaciones de Datos de Verizon (DBIR) de 2021, el 85% de las violaciones de datos necesitan un ser humano para iniciarse.
Esta tormenta perfecta está siendo azuzada por la ingeniería social; esta táctica abarca una amplia gama de actividades que manipulan el comportamiento humano. Los ciberdelincuentes utilizarán literalmente cualquier ángulo posible para explotar a los empleados, utilizando trucos psicológicos conocidos para hacernos hacer clic antes de pensar o descargar malware.
Un informe reciente muestra que los ciberataques basados en la ingeniería social aumentaron un 270% en 2021. Hay varias razones para ello, pero la conclusión es que las técnicas de ingeniería social funcionan y tenemos que encontrar formas de proteger a nuestros empleados.
Una forma de evitar que los ingenieros sociales manipulen a nuestro personal, y eventualmente nuestros datos y redes corporativas, es comprendiendo cómo funcionan los ataques de ingeniería social.
Estos son algunos de los últimos tipos de ataques de ingeniería social a los que hay que prestar atención.
Ingeniería social y ciberseguridad
Las amenazas a la ciberseguridad rara vez son de naturaleza puramente técnica. En cambio, los ciberdelincuentes se han dado cuenta rápidamente de que utilizar a los empleados, a los no empleados y al ecosistema de proveedores en general para llevar a cabo sus nefastos deseos, es una buena forma de entrar en una red protegida.
Una investigación reciente sobre el uso de los correos electrónicos empresariales para iniciar un ciberataque descubrió que en el 30% de las organizaciones, más del 50% de los enlaces recibidos por correo electrónico terminaban en un sitio web malicioso. Se trata de una avalancha de puntos de entrada maliciosos en un sistema corporativo y sus operaciones comerciales.
Los ataques de ingeniería social utilizan tácticas comunes que funcionan, una y otra vez. Pero los hackers pueden variarlas en función de los acontecimientos. La pandemia de Covid-19 fue uno de esos acontecimientos.
Algunos de los probables ataques de ingeniería social a los que hay que estar atentos este próximo año son:
Compromiso del correo electrónico de las empresas (y compromiso del correo electrónico de los proveedores)
El Informe de Investigación de Violaciones de Datos de Verizon (DBIR) de 2021 señaló que el Compromiso del Correo Electrónico Empresarial (BEC) era la segunda forma más común de ataques de ingeniería social. El BEC y el VEC representan la ingeniería social en su forma más intrincada y multipartita.
Los estafadores de BEC utilizan la vigilancia para conocer a su objetivo y crear correos electrónicos a medida, de aspecto legítimo, pero falsos. A menudo, un ataque BEC comienza con una cuenta de correo electrónico comprometida. Esto proporciona a los estafadores la información necesaria para llevar a cabo sofisticados trucos.
Las cuentas y contraseñas comprometidas también pueden ser redirigidas para permitir al hacker vigilar las operaciones y comunicaciones de la empresa para reunir toda la información necesaria para manipular a los empleados para que creen nuevas facturas o modifiquen las existentes para enviar el dinero de la empresa al defraudador.
El informe sobre el panorama de la seguridad del correo electrónico en las empresas en 2021 ofrece algunas ideas importantes para ayudar a mitigar el éxito de este tipo de ataques:
- El 72% de los encuestados ha sufrido un ataque BEC en los últimos 12 meses.
- Casi el 50% de los ataques BEC utilizan una identidad falsa presentada en la pantalla del nombre del correo electrónico.
- Los correos electrónicos de phishing selectivo se dirigen a personas con poder para mover dinero. Estos correos electrónicos de phishing selectivo utilizan nombres de empresas (68%), nombres de objetivos individuales (66%) y el nombre de jefes/gerentes (53%) para adaptar el ataque.
Una nueva variante de BEC es Vendor Email Compromise (VEC). Este tipo de BEC se centra en los proveedores para desviar el dinero. Los ataques VEC utilizan un efecto en cadena, en el que el phishing se propaga por todo el ecosistema de proveedores si no se controla.
Los ataques VEC suelen ser llevados a cabo por ciberdelincuentes profesionales bien financiados, ya que implican una vigilancia y un reconocimiento profundos para entender a sus objetivos lo suficiente como para crear comunicaciones falsas creíbles. Las técnicas de ingeniería social son el núcleo del VEC, al igual que lo son del BEC, con la única diferencia de que los ciberdelincuentes se centran en todo un ecosistema.
Al igual que el BEC, el objetivo del estafador VEC es defraudar a una empresa y robar fondos. La sincronización es una parte clave de un ataque VEC, y la ingeniería social se utiliza para engañar a los empleados para que cambien los detalles de una factura en el momento justo para no levantar sospechas.
El phishing en todas sus formas
El BEC es uno de los muchos tipos de ciberataques que utilizan el phishing o spear-phishing para iniciar un ataque. El phishing es uno de los favoritos de los ingenieros sociales y estuvo presente en el 36% de las violaciones, según el DBIR. El phishing es la herramienta definitiva en el arsenal de los ingenieros sociales, ya que su contenido y contexto pueden conducir en última instancia al control de una red corporativa.
Los correos electrónicos de phishing utilizan una serie de trucos psicológicos y desencadenantes para conseguir que los destinatarios hagan clic en un enlace malicioso o descarguen un archivo adjunto infectado. Estos trucos incluyen la suplantación de marcas conocidas, el uso de la urgencia y el miedo para animar a hacer clic, y la activación de emociones como el miedo a perderse (FOMO). Puede encontrar más información sobre los tipos de tácticas utilizadas para engañar a los empleados en la "Guía definitiva sobre el phishing" de MetaCompliance.
El phishing suele seguir eventos o dirigirse a los usuarios con fines específicos.
Manipulación emocional y suplantación de identidad basada en eventos: Los eventos pueden ser a menudo un desencadenante emocional para una persona. Los estafadores utilizan estas emociones para manipular a los usuarios para que sientan que se están perdiendo algo o que deben actuar con urgencia para aprovechar un evento.
Durante la pandemia de Covid, muchos correos electrónicos de phishing reflejaban la marca "Organización Mundial de la Salud" y jugaban con las preocupaciones sanitarias de los destinatarios de los correos electrónicos. En un momento de la pandemia, Google bloqueó alrededor de 17 millones de correos electrónicos fraudulentos al día, muchos estafadores utilizaron la pandemia para jugar con las emociones y los miedos de la gente. Un solo correo electrónico fraudulento que llegue a la bandeja de entrada de un empleado puede dar lugar a una violación de datos catastrófica.
Ataques de ransomware que utilizan el phishing de seguimiento: El phishing lleva al ransomware y ahora también puede llevar al phishing de seguimiento: este fue el caso del reciente ataque de Lapsus$ al mayor conglomerado de medios de comunicación de Portugal, Impresa. El grupo es propietario de la mayor cadena de televisión y el mayor periódico del país, SIC y Expresso. Se cree que el ataque comenzó con un correo electrónico de spear-phishing que llevó a la toma de la cuenta de Amazon Web Services (AWS) del grupo. Esto condujo a la desfiguración del sitio web del grupo, la toma de la cuenta de Twitter de Expresso y el uso de una cuenta de boletín informativo para enviar correos electrónicos de phishing a los suscriptores del Grupo.
Una vez que un ciberdelincuente tiene acceso a una red, normalmente a través de credenciales robadas de phishing o spear-phishing, puede utilizar ese punto de entrada para escalar privilegios y crear más ataques, como se vio en el ataque Lapsus$. Es muy probable que este tipo de ataques multifacéticos superpuestos se conviertan en algo más normal.
El phishing seguirá utilizándose para iniciar ciberataques, ya que es una forma de que los ciberdelincuentes se "comuniquen" con personas que forman parte de un objetivo corporativo. El uso de este método de comunicación es una forma perfecta de hacer ingeniería social con un ser humano, lo que significa que el ciberdelincuente no necesita "hackear" la tecnología que puede estar protegida, sino que hackea al ser humano.
Ingeniería social y falsificaciones profundas
Las falsificaciones profundas son lo último en ataques de ingeniería social y las organizaciones deberían esperar que esta tecnología se utilice con fines nefastos en los próximos años. El FBI ya ha publicado una advertencia en la que afirma:
"el FBI anticipa que será cada vez más utilizado por los actores cibernéticos extranjeros y criminales para el spearphishing y la ingeniería social en una evolución del comercio operativo cibernético".
El FBI sugiere tácticas que pueden emplearse para reducir el riesgo de ingeniería social a través de falsificaciones profundas, incluyendo "formar a los usuarios para que identifiquen y denuncien los intentos de ingeniería social y spearphishing que puedan comprometer las cuentas personales y corporativas."
Atajar la ingeniería social en su origen
La ingeniería social ha proporcionado a los hackers formas de acceder a los recursos desde que existe el ser humano. El hecho de que estos delincuentes trabajen en un ámbito digital no cambia el hecho de que el objetivo del ciberdelincuente es el comportamiento humano.
Para evitar que los ingenieros sociales manipulen a nuestros empleados, y a la red más amplia de asociados de la empresa, debemos formar a estos individuos en las formas de los ingenieros sociales. El conocimiento es poder, y el equilibrio de poder debe pasar del ciberdelincuente a la empresa mediante la formación de los empleados y la captación de intentos mediante sistemas de notificación.
