Cazando ciberdelincuentes: Guía imprescindible para profesionales de negocios

Si bien los profesionales de seguridad suelen centrarse en identificar y solucionar vulnerabilidades en el software, el eslabón más débil en términos de seguridad suele ser el usuario final. El phishing es un método de ingeniería social para obtener fraudulentamente información haciéndose pasar por una fuente confiable; posteriormente, esa información puede utilizarse para acceder a dispositivos o redes. El spearphishing es un tipo de ataque de phishing dirigido que se basa en el uso de información personal para que el ataque parezca más confiable.

La hoja de trucos de Newsmatic sobre el phishing y el spearphishing es una introducción a este tipo de ataque de ingeniería social. Esta guía se actualizará periódicamente a medida que las estrategias de ataque y las defensas evolucionen.

Índice de Contenido
  1. ¿Cuál es la diferencia entre el phishing y el spearphishing?
  2. ¿Qué tipos de ataques de phishing existen?
    1. Vínculos engañosos
    2. Clonación de sitios web, falsificación y redirección encubierta
    3. Phishing telefónico y de mensajes de texto
  3. ¿Por qué debería preocuparme por el phishing?
  4. ¿Cuánto tiempo lleva el phishing siendo una amenaza?
  5. ¿Cómo puedo proteger a mi organización contra los ataques de phishing?

¿Cuál es la diferencia entre el phishing y el spearphishing?

El phishing es un método de ingeniería social para obtener fraudulentamente información, que luego puede utilizarse para acceder a dispositivos o redes. Este tipo de ataque utiliza la tecnología para disfrazar la comunicación o las páginas web como si provinieran de una fuente confiable. Fundamentalmente, los ataques de phishing dependen tanto de engaños de confianza como de trucos tecnológicos para lograr sus objetivos.

En contraste, el spearphishing es un ataque de phishing dirigido a una persona o empresa específica. Estos ataques suelen basarse en métodos y recursos personalizados, como intentar clonar la interfaz de inicio de sesión de intranets corporativas, así como utilizar información personal recopilada de antemano (quizás de una brecha anterior) sobre los objetivos para aumentar la probabilidad de éxito. Los ataques de spearphishing dirigidos a ejecutivos de alto nivel se conocen como "whaling".

La fórmula de "whaling" también se invierte como "CEO Fraud" (Fraude del CEO), en el cual los correos electrónicos de phishing se disfrazan como si fueran originados por el CEO. Según Colin Bastable, CEO de la compañía de capacitación en seguridad Lucy Security, "Estos ataques de ingeniería social son devastadores porque los correos electrónicos falsos tienen todas las apariencias de ser reales y las víctimas entregan voluntariamente el dinero. ¿Por qué la compañía de seguros cubriría la pérdida? Los objetivos son identificados, preparados y luego engañados mediante técnicas de correo electrónico bastante sofisticadas para transferir fondos a cuentas bancarias 'burner', a menudo en Asia, que luego son vaciadas. Al creer que la solicitud de correo electrónico proviene del CEO, la víctima envía voluntariamente el dinero. Las pequeñas y medianas empresas son particularmente vulnerables, ya que tienen líneas de comunicación más cortas, con menos controles y equilibrios, entre el personal de finanzas y el CEO".

¿Qué tipos de ataques de phishing existen?

Los actores maliciosos suelen utilizar una variedad de técnicas de phishing en sus ataques.

Las 10 vulnerabilidades de seguridad de aplicaciones más comunes en 2018

Vínculos engañosos

La estrategia más utilizada y confiable por los atacantes es disfrazar un vínculo malicioso para que parezca provenir de una fuente legítima o confiable. Estos tipos de ataques de phishing pueden adoptar diversas formas, como explotar URLs con errores ortográficos, crear un subdominio para un sitio web malicioso o utilizar dominios de apariencia similar.

Por ejemplo, considera las siguientes estrategias: La letra "I" está muy cerca de la "L" en los teclados QWERTY estándar, lo que haría que "googie" parezca un reemplazo plausible de "google". Para los subdominios, un atacante que controla example.com podría crear subdominios para ese dominio (por ejemplo, "www.paypal.example.com"), cuya parte inicial de la URL aparece como legítima. En cuanto a los dominios de apariencia similar, el dominio "accounts-google.com" se registró como un clon de "accounts.google.com" en un ataque de phishing durante las elecciones presidenciales de Estados Unidos en 2016.

Los Nombres de Dominio Internacionalizados (IDN) también se pueden utilizar para crear nombres de dominio de apariencia similar al permitir el uso de caracteres no ASCII. Las similitudes visuales entre caracteres de diferentes escrituras, conocidas como homógrafos, pueden utilizarse para crear nombres de dominio con diferencias visualmente indiscernibles, engañando a los usuarios haciéndoles creer que un dominio es en realidad otro.

Clonación de sitios web, falsificación y redirección encubierta

Los sitios web vulnerables a ataques de scripting entre sitios (XSS) pueden ser utilizados por actores maliciosos para inyectar su propio contenido en el sitio web real del servicio atacado. XSS se puede utilizar para recopilar datos ingresados en un sitio web comprometido (incluidos los campos de nombre de usuario/contraseña) para que los atacantes los utilicen en una fecha posterior.

Algunos ataques de phishing utilizan XSS para crear ventanas emergentes que se originan desde un sitio web vulnerable pero cargan una página controlada por los atacantes; a menudo, este tipo de redirección encubierta carga un formulario de inicio de sesión para recopilar credenciales de acceso. Debido a la prevalencia de este tipo de ataque, la mayoría de los navegadores ahora muestran la barra de direcciones en las ventanas emergentes.

Phishing telefónico y de mensajes de texto

Los actores maliciosos también se basan en llamadas telefónicas y mensajes de texto para recopilar información de cuentas, enviando mensajes de texto a clientes bancarios que afirman que su acceso a la cuenta está desactivado, lo que incita a los usuarios a llamar a un número de teléfono o utilizar un sitio web configurado por los atacantes, desde el cual se puede recopilar información de la cuenta.

Cómo restablecer contraseñas de cuentas locales en macOS

¿Por qué debería preocuparme por el phishing?

Fundamentalmente, el phishing afecta a todos. Los actores maliciosos suelen lanzar una red amplia al realizar ataques de phishing, con la esperanza de capturar a cualquier víctima al azar para obtener acceso a información bancaria personal o a una entrada a una red corporativa, desde la cual los atacantes pueden obtener información sensible. Incluso con políticas que aseguren el acceso segmentado a la información, esto puede poner en riesgo información sobre empleados, clientes y usuarios.

Las soluciones de monitoreo de seguridad están diseñadas principalmente para alertar a los usuarios o profesionales de TI sobre la existencia de un virus basándose en datos como hashes de cargas útiles conocidas o comportamientos programáticos de los virus. Este modelo de software de seguridad se adapta mal a los ataques de phishing que dependen en gran medida de métodos de ingeniería social para convencer a los usuarios de que tomen acciones de inmediato sin analizar la situación. Por esta razón, la mejor defensa contra el phishing es la capacitación en seguridad para los usuarios finales.

Se han desarrollado filtros en un intento de identificar ataques de phishing en correos electrónicos, aunque algunos correos electrónicos de phishing utilizan imágenes de texto en lugar de texto escrito para evadir estos filtros de correo. De manera similar, los sitios web de phishing a menudo dependen de técnicas de ofuscación de código para evitar que el software de seguridad detecte actividad maliciosa. A menudo, los ataques de phishing dependen de la codificación AES-256 o Base64 dentro de JavaScript, o de estrategias de codificación personalizadas, lo que dificulta el análisis del código fuente subyacente. (El uso de ofuscación de código en sí mismo no puede considerarse como intención maliciosa).

En 2019, los investigadores de Proofpoint divulgaron un kit de herramientas de phishing que ofusca los datos mediante el uso de un cifrado de sustitución que depende de una fuente personalizada para decodificar. Este kit de herramientas utiliza una versión personalizada de la fuente Arial con letras individuales trasladadas; cuando se carga una página de phishing, el contenido parece normal. Cuando un usuario o programa intenta leer el código fuente, el texto en la página aparece desordenado.

¿Cuánto tiempo lleva el phishing siendo una amenaza?

El concepto de phishing fue discutido por primera vez en 1987 en un documento presentado en Interex titulado "System Security: A Hacker's Perspective" (Seguridad del sistema: Una perspectiva de un hacker). Desde el punto de vista etimológico, la primera aparición registrada de la palabra "phishing" fue en una herramienta de hacking llamada AOHell, en 1996.

Los primeros intentos de phishing conocidos dirigidos a servicios financieros ocurrieron en 2001 y se dirigieron al servicio de "digital gold currency" E-gold. Hasta octubre de 2003, los atacantes habían apuntado a Bank of America, CitiBank, PayPal, Lloyd's of London y Barclays.

Cómo almacenar y gestionar claves SSH en KeePassXC

Según el Grupo de trabajo contra el phishing (Anti-Phishing Working Group), el número de informes únicos de phishing que la organización recibió en 2005 fue de 173,063, y ese número aumentó a un máximo histórico de 1,413,978 en 2015. Desde entonces, los ataques de phishing han disminuido modestamente en frecuencia, con 1,122,156 recibidos en 2017.

¿Cómo puedo proteger a mi organización contra los ataques de phishing?

Existen diversas estrategias para protegerse contra los ataques de phishing, aunque es recomendable utilizar varias estrategias juntas para evitar un único punto de falla.

Dado que los ataques de phishing son fundamentalmente un medio tecnológico para un aprovechamiento de ingeniería social, la capacitación de los usuarios es la estrategia más importante para tu organización. Capacitar a los usuarios para que reconozcan características identificativas de los correos electrónicos de phishing y llevar a cabo simulacros de intentos de phishing para evaluar la eficacia de esa capacitación hará más para garantizar la integridad de la seguridad que las soluciones de software.

De manera similar, establecer políticas para proteger a los empleados de transferir fondos o proporcionar acceso a datos con fines no legítimos es igualmente importante. Bastable señala: "Toda seguridad comienza con una política: las empresas deben tener una política acordada para este tipo de situaciones y capacitar correctamente a su personal. Los CEO deben contratar a personas sólidas dispuestas a cumplir con la política bajo presión. Por supuesto, desafiar al CEO es una excelente manera de ser despedido en los negocios estadounidenses, y los ciberdelincuentes confían en esto".

En cuanto a las soluciones tecnológicas, cambiar el comportamiento predeterminado en clientes de correo electrónico como Microsoft Outlook puede mejorar la seguridad. Herramientas de escaneo de terceros pueden reducir la eficacia de los ataques de phishing o evitar que lleguen a las bandejas de entrada de los usuarios.

Los navegadores modernos también incluyen servicios de filtrado Safe Browsing, que están habilitados de forma predeterminada y detectan ataques de phishing, evitando que los usuarios sean víctimas.

Nueva vulnerabilidad descubierta en ES File Explorer para Android: Están tus archivos expuestos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cazando ciberdelincuentes: Guía imprescindible para profesionales de negocios , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.