Aunque el email sigue siendo el principal vector de amenazas, el espacio actual de trabajo se ha expandido incluyendo herramientas de colaboración y relaciones con proveedores de las que se aprovechan los ciberdelincuentes. El factor humano se ha convertido así en el eslabón más vulnerable de la organización en cuanto a ciberdefensa.
Un grupo de ciberdelincuencia funciona de manera muy parecida a una empresa: organizado, paciente y con mucha experiencia. No confían en las victorias rápidas; juegan a largo plazo, sabiendo que una cuenta comprometida puede desbloquear un valioso acceso a sistemas sensibles, datos financieros y redes corporativas. En el punto de mira suele estar una empresa cuyos empleados, socios y clientes se comunican y colaboran a través de múltiples canales, como Slack, Teams, SMS y Zoom, al igual que en la mayoría de las organizaciones de hoy.
Ciberdelincuencia en el actual entorno de trabajo digital
“Los atacantes están explotando las plataformas de mensajería, las aplicaciones en la nube y los servicios de intercambio de archivos. Esto ha creado un panorama de seguridad fragmentado con productos puntuales desconectados, lo que resulta en costes operativos más altos y brechas de seguridad cada vez mayores”, resumen los investigadores de Proofpoint.
Un primer paso para el atacante es encontrar el objetivo perfecto a través de redes sociales, ofertas de empleo o registros normativos, trazando luego la estructura de esa organización para identificar a su víctima dentro de ella, preferiblemente con cierta autoridad y acceso a datos. A partir de ahí, se crea un señuelo personalizado mediante suplantación de identidad y otras herramientas. El mensaje debe tener una apariencia fiable, incluir un enlace malicioso disfrazado de documento seguro, así como hacer referencia a plazos para que la víctima realice una determinada acción. A esta le bastaría un simple descuido para hacer clic en la URL e introducir sus credenciales de Microsoft 365 en una página de inicio de sesión falsa.
La víctima sigue adelante con su día como si nada, pensando que acaba de verificar su nombre de usuario y enviar correctamente el formulario con los datos solicitados, mientras que el ciberdelincuente va eludiendo distintas protecciones de la organización objetivo hasta completar la toma de control de su cuenta personal y tener ahora un acceso completo a la misma. Es entonces cuando comienza el verdadero daño. Conseguir un acceso inicial es sólo el inicio. El principal objetivo será escalar privilegios, ampliar accesos, ganar persistencia, cometer fraude, robar dinero y exfiltrar datos de alto valor. Para ello, el atacante utiliza la identidad de la víctima para engañar a otros usuarios, solicitando pagos urgentes por email.
En caso de que la organización le descubra, el ciberdelincuente podrá permanecer más tiempo dentro de la red, crear nuevos métodos de autenticación, añadir su propio dispositivo como inicio de sesión de confianza, o utilizar la cuenta comprometida para controlar otras cuentas internas. Aquí es donde fallan muchos equipos de seguridad: pueden detectar un inicio de sesión malicioso, pero sin un análisis de comportamiento más profundo no pueden ver el alcance completo del ataque. De este modo, se quedan un paso por detrás del atacante.
“Los equipos de seguridad deben preguntarse si están deteniendo las amenazas antes de que lleguen a los empleados a través de cualquier canal digital, si confían en su ecosistema de comunicaciones empresariales, si el personal está preparado para reconocer y denunciar ataques, y si se pueden detectar cuentas comprometidas antes de que causen daños importantes. Si la respuesta no es un sí seguro, es el momento de reevaluar la estrategia”, explican los investigadores de Proofpoint.
Los expertos recomiendan una solución combinada de protecciones de seguridad para prevenir al máximo las amenazas centradas en las personas, tanto actuales como emergentes. Como requisitos incluiría una detección precisa de la más amplia variedad de amenazas, protección de cuentas basada en IA, formación específica sobre riesgos para que los usuarios tomen decisiones más seguras al enfrentarse a amenazas, protección contra phishing y la suplantación de identidad en todas las plataformas, gestión de riesgos de los usuarios y automatización de controles de seguridad adaptables.
Te puede interesar
- La IA generativa y el factor humano, los puntos clave de la vulnerabilidad de las organizaciones en pérdida de datos
- Big Data, Inteligencia Artificial y factor humano, tres aspectos básicos de la ciberseguridad actual
- El factor humano y la cadena de suministro, principales desafíos para la adaptación a la NIS2
