Pese a los esfuerzos en defensa, los atacantes no dejan de estafar, extorsionar y pedir rescates de miles de millones de dólares cada año a las empresas. Sus tácticas para conseguir clics de los usuarios van cambiando constantemente, de ahí que la lucha contra la ciberdelincuencia esté también evolucionando.
El equipo de investigación de Proofpoint ha analizado en un informe las técnicas de ingeniería social más utilizadas por atacantes, desmintiendo asimismo algunas suposiciones erróneas que organizaciones y responsables de seguridad deben desterrar para proteger mejor a sus empleados.
La ingeniería social está siempre en la artillería de los ciberdelincuentes que utilizan el correo electrónico como vector de acceso inicial. Desde ataques por motivos económicos, pasando por el Business Email Compromise (BEC) o las amenazas persistentes avanzadas (APT), existen innumerables procedimientos mediante los cuales aprovecharse del comportamiento de los usuarios cuando estos abren y responden correos electrónicos.
«Con anterioridad, los responsables de seguridad han priorizado el refuerzo de defensas en torno a la infraestructura física y basada en cloud», explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. «Esto ha hecho que las personas se conviertan en puerta de entrada de compromisos y, como consecuencia de ello, se estén desarrollando una amplia gama de técnicas y contenidos con los que explotar los comportamientos e intereses humanos».
Estas fueron algunas de las claves de la ingeniería social en 2021:
- Los ciberdelincuentes utilizan frecuentemente servicios populares, como Google Drive o Discord, para convencer a sus víctimas.
- Los atacantes pueden llegar a establecer una relación de confianza con ellas mediante conversaciones prolongadas en el tiempo.
- Conocen y saben cómo utilizar hilos de conversación existentes entre contactos, echando mano también de temas de actualidad o relevantes, para llevar a cabo sus amenazas.
- Proofpoint tiene constancia de millones de mensajes fraudulentos en los que se insta a los usuarios a hacer llamadas telefónicas como parte de la cadena de ataque.
El informe hace referencia también a varios ejemplos de sofisticados ataques de ingeniería social, entre los cuales destaca los siguientes:
- El grupo TA499 (alias Vovan/Lexus), alineado con Rusia, se hace pasar por la esposa del líder de la oposición, Alexei Navalny, en sus ataques con objetivos del Estado.
- Desde Corea del Norte, TA406 se dedica a ataques de phishing para lograr datos de acceso en campañas relacionadas con la seguridad de armas nucleares y la actividad del presidente de Estados Unidos, Joe Biden.
Los expertos recuerdan que a medida que las personas identifiquen mejor las amenazas que potencialmente pueden llegar a su bandeja de correo, los ciberdelincuentes tendrán que encontrar nuevos métodos, aunque eso signifique comportarse de manera distinta a lo que se espera de ellos.
Mientras tanto, el uso de la ingeniería social en ataques seguirá siendo generalizado por su eficacia y, es poco probable que eso cambie pronto. Las organizaciones criminales más sofisticadas se han crecido para imitar a empresas legítimas, ser más resistentes y conseguir mayores beneficios. Hasta que no aparezca otro factor que sea más vulnerable que las personas, los ciberdelincuentes continuarán aprovechándose de comportamientos, instintos y emociones.
Por ello, las empresas deben inculcar a sus empleados la idea de que la actividad maliciosa de los atacantes es algo habitual, incluso inevitable. Una vez que esto se acepte ampliamente y se integre mejor la notificación de amenazas en los flujos de trabajo, más difícil lo tendrán los atacantes para explotar el factor humano.