Detección de amenazas de phishing
El 89 % de los mensajes maliciosos eluden la seguridad del correo electrónico
Las interacciones digitales predominan en nuestra vida cotidiana y en ellas se basa nuestra realidad de hoy día. Los ataques de phishing se sitúan entre los principales riesgos informáticos y de seguridad, de hecho es el primer vector de 9 de cada 10 ciberataques. Solo en el último año, el phishing ha causado pérdidas de más de 50 000 millones de dólares a empresas de todo el mundo. Además, los atacantes se han hecho pasar por más de 1000 organizaciones diferentes en casi 40 millones de amenazas de suplantación de identidad y más de 1000 millones de intentos de suplantación de marca. El phishing funciona, es un hecho. Y los ciberdelincuentes nunca dejarán de usar métodos que les ayuden a explotar vulnerabilidades.
¿Por qué? El objetivo de estos ataques son las personas, y nos encanta una buena historia. De hecho, según sostienen algunos, las historias son las que mueven la humanidad. Para que estos ataques funcionen, los ciberdelincuentes solo tienen que usar una táctica, la autenticidad. La autenticidad visual está directamente ligada con el phishing de suplantación de marca, y la autenticidad organizativa está más estrechamente relacionada con los ataques al correo electrónico corporativo (BEC), que es un tipo de ataque de phishing.
El primer objetivo de estas campañas de phishing es lograr la autenticidad, por ejemplo, suplantar marcas conocidas para que a la gente le resulte cada vez más difícil distinguir lo auténtico y lo malicioso. Por ejemplo, la mayoría de las veces, los ataques por correo electrónico suplantaron en un 51,7 % de las veces la identidad de una de las 20 marcas mundiales más reconocidas. Estas marcas son organizaciones populares con las que más se interactúa, como Microsoft que ocupa el n.º 1 de la lista, y otras empresas como Google, Amazon, Facebook y la Organización Mundial de la Salud.
Los ciberdelincuentes también se benefician y se aprovechan de acontecimientos mundiales a gran escala o de tendencias vinculadas a las marcas. Por ejemplo, cuando hay un Mundial de fútbol, hay campañas que aprovechan los activos relacionados con el evento. En las cumbres de los líderes del G-20, ocurre lo mismo. Cuando estalló la pandemia del coronavirus, se produjeron multitud de ataques que aprovechaban las tendencias relacionadas con la COVID-19. En cierto modo, los ciberdelincuentes son muy predecibles, y los acontecimientos físicos trascienden al ciberespacio. En última instancia, este comportamiento subraya que el phishing, como cualquier ataque, explota las vías que son el eslabón más débil, en estos casos, la inclinación natural del ser humano a ser confiado.
Cuando los ciberdelincuentes se hacen pasar por usuarios legítimos, pueden lograr fácilmente su segundo objetivo principal, engañar a las víctimas para que hagan clic en enlaces o descarguen archivos peligrosos. Es natural querer interactuar con un enlace o un archivo de alguien que crees conocer. A principios de este año, los atacantes se aprovecharon de los estragos provocados por la quiebra de Silicon Valley Bank (SVB) para acechar a los clientes. En una campaña de phishing generalizada, los ciberdelincuentes se hicieron pasar por SVB para enviar "enlaces" con un supuesto documento de DocuSign que, al hacer clic, se dirigía a los usuarios a una compleja cadena de redireccionamiento propiedad del atacante.
Nunca ha estado tan en juego la prevención contra los ataques de phishing. Y aunque el problema pueda parecer insalvable, hay tres medidas clave para reforzar la postura de seguridad de cualquier organización:
1. Implementa herramientas modernas de prevención
Un correo electrónico fraudulento tiene el poder de infligir un perjuicio significativo a una organización, y las herramientas estándar de seguridad de la bandeja de entrada del correo electrónico no son viables para combatir estos ataques. Entre 2013 y 2015, Facebook y Google perdieron 100 millones de dólares tras ser víctimas de una estafa de facturas falsas en la que un atacante enviaba una serie de facturas multimillonarias imitando al proveedor del gigante tecnológico. En 2016, el fabricante austriaco de piezas aeroespaciales FACC perdió 47 millones de dólares cuando un empleado transfirió dinero tras creer una técnica de phishing por la que el atacante se hacía pasar por el director general de la empresa.
Los ciberdelincuentes suelen utilizar proveedores populares (por ejemplo, Microsoft y Google) para crear sus ataques, lo que les permite eludir las comprobaciones típicas de autenticación. El procedimiento actual de seguridad del correo electrónico exige la aplicación de numerosas capas de protección antes, durante y después de que los mensajes lleguen a la bandeja de entrada. Aunque las normas de autenticación SPF, DKIM y DMARC son una medida de salvaguardia crucial, por sí solas no proporcionan una protección integral contra los ataques de phishing. Estas normas no se crearon para detectar la presencia de correos electrónicos y/o enlaces peligrosos, típicos de los ataques de phishing, de hecho, el 89 % de los mensajes no deseados se eliminan a través de estas herramientas.
La clave para prevenir y estar al tanto de las tácticas modernas de phishing es adoptar el principio de "nunca confíes, verifica siempre". Las organizaciones deben implementar un modelo de seguridad Zero Trust para cada correo electrónico. La implementación de la autenticación multifactor resistente al phishing, el refuerzo de la seguridad del correo electrónico en la nube con numerosas barreras contra el phishing y la capacidad de ofrecer a los usuarios las herramientas para garantizar la seguridad son piezas fundamentales para conseguirlo.
2. Afronta el problema
Cuando los procesos y las herramientas no funcionan, la tendencia natural es dedicar más recursos al problema, es decir, más personas, tiempo y dinero. Es un planteamiento equivocado, ya que tomar medidas reactivas significa que ya es demasiado tarde. Por ejemplo, los filtros de spam, aunque en un momento dado fueron el objetivo principal de la seguridad del correo electrónico, no son más que la punta del iceberg de lo que se necesita para prevenir proactivamente los ataques de phishing.
Si bien la clasificación de las amenazas de phishing en diferentes categorías podría ser útil en otros contextos, es una técnica ineficaz cuando se adopta una visión integral del phishing con el objetivo de afrontar el problema. Muchos informes del sector sobre el phishing dividen el espacio de forma granular, como si se tratara de abordar y resolver 100 problemas distintos. Abordar la misma amenaza de 100 formas distintas puede resultar intimidatorio a la hora de tratar de resolver el problema. Es esencial un enfoque global, y como demuestra el creciente número de ataques, la unión de los datos no conduce a una solución. El 90 % de los responsables de la toma de decisiones en materia de seguridad coinciden en que el tipo y el alcance de las amenazas de phishing se están ampliando, por lo que está claro que es necesaria una estrategia integral y simplificada para proteger nuestros entornos digitales.
3. Convierte la información en tu herramienta de éxito
En el panorama de la ciberseguridad abundan las soluciones que prometen una mayor seguridad. Sin embargo, muy pocas abordan eficazmente el complicado problema del phishing que se ha agravado y al que ninguna organización es inmune. Solo en 2022, Cloudflare detectó más de 1,4 millones de amenazas BEC, el doble de volumen que en 2021, y el 71 % de las organizaciones experimentaron un intento o un ataque real al correo electrónico corporativo.
Estos datos demuestran que el phishing está presente en todos los sectores, y su capacidad para acabar con inversiones tradicionales en seguridad con un simple clic. Los usuarios son más propensos a hacer clic en los enlaces que a descargar un archivo, ya que perciben el enlace como una forma de comunicación más auténtica. Los ciberdelincuentes aprovechan esta debilidad humana en repetidas ocasiones, lo que ha hecho que los enlaces maliciosos se conviertan en la categoría de amenazas más común, de hecho suponen el 35,6 % de todas las amenazas detectadas. Estos enlaces y archivos pueden conducir al robo de credenciales, la ejecución remota de código que permite al atacante instalar malware o ransomware, al robo de datos u otras acciones y, en última instancia, pueden poner en peligro la red si el atacante logra hacerse con el control de un único equipo.
El phishing está en auge, de ahí que los líderes empresariales deban aprovechar las estadísticas para poner en práctica soluciones. De esta manera se garantiza una adecuada asignación de recursos a la protección proactiva frente a las fugas resultantes de ataques de phishing fructíferos. Los datos dejan claro que el phishing es un problema abrumador para las empresas de todos los tamaños, pero hay respuestas individuales sobre cómo aplicar los recursos para evitar que los ataques de phishing causen daños irreversibles.
No todo es catastrófico. La modernización de la prevención contra el phishing
El ecosistema digital evoluciona constantemente, y la capacidad de ir un paso por delante requiere un enfoque directo y proactivo. Las organizaciones pueden proteger el correo electrónico con un modelo de seguridad Zero Trust para que ningún usuario o dispositivo tenga acceso completo y fiable al correo electrónico o a otros recursos de la red. Las organizaciones pueden integrar numerosos controles contra el phishing en sus soluciones de seguridad del correo electrónico en la nube para abordar las áreas de alto riesgo de exposición a ataques, e implementar herramientas de seguridad multifactor (MFA) antiphishing.
La pila tecnológica es tan importante como abordar tu propia cultura organizativa. Los equipos de las grandes organizaciones trabajan con sus herramientas preferidas, por lo que aprovechar las capacidades con las que ya cuentan los usuarios mejorando la seguridad de los recursos que ya utilizan ayuda a prevenir posibles ataques de phishing. Promover un enfoque transparente y libre de culpas en el que se anime a los usuarios a notificar actividades sospechosas es primordial, porque los minutos que transcurren entre la denuncia de una actividad sospechosa y la adopción de medidas son críticos.
La implementación de soluciones técnicas modernas, la capacidad para afrontar el problema y el uso las soluciones basadas en datos permiten a las organizaciones deshacerse de soluciones parciales y protegerse a sí mismas y a sus datos de los ataques de phishing. Tales soluciones requieren un enfoque multifuncional, que combine medidas técnicas con la concienciación organizativa para crear una protección formidable contra la insidiosa amenaza del phishing.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Para saber más sobre las últimas tendencias en phishing, ¡consigue el último informe sobre las amenazas de phishing!
Autor
Oren Falkowitz — @orenfalkowitz
Responsable de seguridad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
El phishing sigue siendo el primer vector de 9 de cada 10 ciberataques
El 89 % de los mensajes no deseados lograron pasar las comprobaciones de SPF, DKIM y DMARC
3 medidas clave para reforzar la postura de seguridad de cualquier organización
Recursos relacionados: