Equipo editorial de Getronics
En este artículo:
Con una cifra estimada de 3.400 millones de solicitudes maliciosas de información enviadas por correo electrónico cada día, el ataque de phishing es la forma más común de ciberataque en el mundo. La mayoría de las empresas tienen la ilusión de que los intentos de phishing son fáciles de detectar y que los empleados nunca serán víctimas de una solicitud sospechosa de sus credenciales.
Pero una serie de recientes ataques de phishing a empresas de alto perfil como Cisco, Twilio y Uber ha llamado la atención sobre una realidad sorprendente:
- Los atacantes de phishing utilizan métodos más sofisticados que nunca, incluidos mensajes y correos electrónicos con IA para que parezcan aún más realistas.
- Como vector de malware y ransomware, el phishing supone un riesgo extremo para cualquier empresa.
- Incluso con las normas de seguridad más estrictas, ninguna empresa está completamente a salvo del riesgo de error humano, en el que se basa el phishing.
- Los atacantes modernos de phishing se aprovechan de las debilidades humanas para eludir incluso las medidas de seguridad más avanzadas, como la autenticación multifactor (MFA).
- Los malos hábitos y la falta de concienciación por parte de los empleados crean las condiciones ideales para un ataque de phishing de nivel superior.
¿Está haciendo tu empresa todo lo necesario para proteger sus datos confidenciales y evitar convertirse en la próxima víctima de un ataque de phishing? ¿Dispones de la formación y las tecnologías adecuadas? ¿Realizas activamente evaluaciones del riesgo de phishing para identificar posibles amenazas? E incluso si lo haces, ¿estás seguro? En este artículo, exploramos los peligros del phishing y cómo puede minimizar el riesgo de error humano para mantener tus sistemas internos más seguros.
Subiendo la apuesta: Phishing de nivel superior
Hemos recorrido un largo camino desde que la práctica del phishing adquirió notoriedad a finales de la década de 1990. Por aquel entonces, los piratas informáticos solían ponerse en contacto con las personas por correo electrónico, haciéndose pasar por una empresa de confianza y solicitando información confidencial, como credenciales de inicio de sesión o datos de tarjetas de crédito. Mientras que aquellos ataques tuvieron consecuencias devastadoras para las víctimas, los sofisticados atacantes de phishing de hoy en día tienen la mira puesta en algo mucho más grande: los vastos conjuntos de datos confidenciales de clientes que poseen las empresas.
La brecha de 2022 en Twilio es un ejemplo clásico. Los ciberdelincuentes enviaron mensajes de texto a los empleados de Twilio, haciéndose pasar por el departamento de TI de la empresa y solicitando cambios de contraseña. Dirigieron a los empleados a una versión falsa de la página de inicio de sesión de la empresa, donde recopilaron las credenciales de los empleados y finalmente obtuvieron acceso a los datos de 125 clientes de Twilio.
El aumento de los ataques de fatiga por MFA
Un modo de phishing cada vez más común es el ataque de fatiga MFA (también conocido como bombardeo MFA). Bajo esta táctica, los actores de la amenaza obtienen ilícitamente las credenciales de una víctima (por ejemplo, comprándolas en la darkweb). Utilizan las credenciales para activar múltiples solicitudes MFA. Al sentirse confundida o sobrecargada por una avalancha de notificaciones MFA, la víctima puede simplemente aprobar la solicitud, posiblemente pensando que ellos mismos la activaron inadvertidamente.
Sin embargo, como muchas personas sospechan inmediatamente cuando reciben una serie de solicitudes MFA no solicitadas, pueden negarse a autenticarse. Sabiendo esto, los atacantes diseñan socialmente un escenario en el que la solicitud MFA parece legítima. Por ejemplo, llaman o envían un correo electrónico a la víctima, haciéndose pasar por alguien de confianza, como el departamento de TI de una empresa, avisándole de que tiene que autenticar su identidad como parte de un procedimiento de seguridad rutinario. Aprovechando la confianza de la víctima, el autor de la amenaza consigue la autenticación y obtiene acceso a sistemas restringidos.
La fatiga del MFA en acción
Los delincuentes detrás del ataque de Cisco 2022 habían obtenido las credenciales de la cuenta de Google de la víctima, que contenían credenciales sincronizadas para sus cuentas relacionadas con el trabajo. Los atacantes activaron solicitudes MFA y luego llamaron a la víctima por teléfono, haciéndose pasar por una organización de confianza. Por teléfono, convencieron al empleado para que aceptara una solicitud de MFA, consiguiendo así acceso a los sistemas internos de Cisco, donde dejaron caer cargas útiles de malware y comprometieron múltiples servidores.
Durante un incidente similar en 2022, Uber fue víctima de un ataque de fatiga MFA por parte del conocido grupo de hackers Lapsus$. Los hackers obtuvieron las credenciales VPN de un contratista externo que trabajaba para Uber (probablemente compradas en la darkweb) y las utilizaron para activar solicitudes MFA. Cuando el contratista ignoró inicialmente las solicitudes, los hackers se pusieron en contacto con ellos por WhatsApp, haciéndose pasar por el servicio de asistencia de Uber y dándoles instrucciones para autenticarse. En poco tiempo, los hackers tuvieron acceso a múltiples sistemas internos y, finalmente, obtuvieron permisos para herramientas como G-Suite y Slack.
Combatir un ataque de phishing mediante tecnología y formación
El phishing es un reto complejo, que requiere un esfuerzo conjunto de los departamentos de TI y RRHH de su empresa, ya que se produce en la interfaz entre la tecnología y el comportamiento humano. Los directores de sistemas de información y recursos humanos deben adoptar un enfoque holístico en el que las personas, los procesos y la tecnología estén alineados. He aquí las piedras angulares de este tipo de enfoque:
Sensibilización en materia de seguridad
Los empleados necesitan formación continua sobre las últimas técnicas de phishing y las mejores prácticas para reconocer y responder a actividades sospechosas. En el caso de los ataques de suplantación de identidad mediante MFA de Uber y Cisco, por ejemplo, las empresas podrían haber evitado las brechas enseñando a sus empleados y socios externos específicamente cómo detectar un intento de suplantación de identidad relacionado con la MFA.
Prácticas de MFA resistentes a los ataques de phishing
Los métodos MFA de nueva generación, como la autenticación FIDO2/WebAuthn, los códigos QR y los tokens físicos, ayudan a reducir la superficie de ataque de su empresa. Requerir que el usuario complete una acción para autenticar su intención de iniciar sesión también reduce el riesgo de ataques de fatiga de MFA, en los que el usuario puede aceptar una solicitud simplemente para detener una avalancha de notificaciones push activadas por un atacante.
Prácticas de contraseñas seguras
Aplica políticas de contraseñas estrictas que prohíban los cambios incrementales (de un solo carácter) de contraseña y exijan contraseñas fuertes y únicas.
Evaluaciones del riesgo de phishing
Trabaja con un socio especializado en ciberseguridad para evaluar periódicamente el riesgo de phishing de tu empresa y realizar ataques de phishing simulados. Esto te permitirá identificar los puntos débiles y corregir las vulnerabilidades.
Marco de confianza cero
Implementa un enfoque de confianza cero que exija la verificación en cada paso, minimizando la superficie de ataque.
No dejes que los atacantes de phishing se hagan con el control. Asegúrate de que tus empleados están al día y salva tu negocio.
De qué depende proteger a su empresa de un ataque de phishing
Proteger a su empresa de un ataque de phishing depende de su capacidad para concienciar, promover los comportamientos adecuados y aplicar tecnologías seguras.
Las empresas siempre tendrán que hacer frente al riesgo de esa pequeña minoría de empleados que no cumplen las políticas de seguridad. Esto significa que proteger a tu empresa del phishing es una cuestión de minimizar los riesgos más que de eliminarlos por completo. Sin embargo, con una sólida evaluación del riesgo de phishing y las medidas de prevención adecuadas, tu empresa se encaminará hacia un futuro mucho más seguro. Descubre cómo Getronics Security Services puede ayudarte a proteger tu empresa.
