Nuevas tendencias de Ingeniería Social y su relación con la seguridad cibernética

Las amenazas cibernéticas continúan siendo un problema de seguridad que aumenta cada día y desarrolla nuevas formas de ataque. La mayoría de los criminales informáticos usan tácticas de ingeniería social para llevar a cabo sus estafas ya que se aprovechan de los deseos, curiosidad, miedo y el sentido de urgencia de las personas.

Según declaraciones de Jurgen Stock, Secretario General de Interpol:

 “Los piratas informáticos están potenciando y desarrollando nuevas formas de ataques a un ritmo vertiginoso, y lo hacen explotando sensaciones como la incertidumbre y el miedo que generan circunstancias económicas y sociales inestables”.

Con estas condiciones sobre la mesa, los profesionales de seguridad cibernética se ven en la obligación de adaptarse a estas nuevas tendencias de ingeniería social y evolucionar para mantener protegida la infraestructura de sus compañías y los sistemas de sus clientes.

Desde que inició la pandemia de COVID-19, la mayoría de las empresas y organizaciones han experimentado un incremento en los ataques de phishing. Algunos piratas informáticos incluso se han hecho pasar por agentes de la Organización Mundial de la Salud para hacer que usuarios particulares divulguen información confidencial.

En el año 2020, los ataques phishing aumentaron en un 220%, en lo que fue identificado posteriormente como el punto más álgido de la pandemia. Según la agencia CBS News, el 36% de los ataques corporativos que tuvieron éxito involucran el uso de phishing, lo que eleva los indicadores históricos a un aumento del 11% del uso de esta técnica con respecto al año pasado.

Vamos a darle un vistazo a las principales tendencias de seguridad cibernética para este año 2022.

Los deepfakes son una preocupación con arraigo justificable

La evolución tecnológica ha dado lugar a un número amplio de innovaciones, una en particular ha estado causando revuelo en el mundo digital: los deepfakes. El uso indebido de esta tecnología es una de las principales tendencias en seguridad cibernética en este año. Los deepfakes utilizan tecnología basada en inteligencia artificial para la creación de videos, imágenes o grabaciones de audio falso usando el rostro y voz de personas reales.

Los deepfakes son muy convincentes, y su continuo avance puede dificultar la capacidad de diferenciar entre contenido falso y real. Si bien los deepfakes son una tendencia nueva en inteligencia artificial, tanto las personas como las empresas deben tener cuidado, ya que estos pueden desempeñar un rol primordial en las tendencias emergentes relacionadas a los crímenes informáticos y otros tipos de fraude.

Los piratas informáticos pueden hacer uso de tecnología deepfake para crear videos falsificados de altos funcionarios gubernamentales de cualquier nación y difundir información para su provecho personal, e incluso para manipular a las masas, fomentando el odio y manipulando sentimientos. En el año 2020, se llevó a cabo un ataque usando deepfakes que tuvo un costo cercano a los 250 millones de dólares, estando aun este tipo de tecnología en pañales.

Es innegable que a medida que evoluciona la tecnología deepfake, los piratas informáticos encontrarán formas de usarla contra individuos y organizaciones con mejor estructura e imaginación.

Phishing-as-a-Service (PaaS) aumenta los riesgos

Desde el momento en que se hace clic en enlaces maliciosos hasta la simple descarga de archivos adjuntos por correo electrónico, el phishing es una de las tácticas de ingeniería social más usadas a nivel mundial. A medida que la seguridad cibernética avanza y se desarrolla, los atacantes de la red se idean nuevas formas, más sofisticadas para la ejecución de ataques phishing.

El phishing disfrazado de “servicio” es una de las nuevas tendencias que tiene que enfrentar la seguridad cibernética ya que los piratas informáticos usan tácticas avanzadas de ingeniería social para comprometer las redes de las organizaciones. Los delincuentes informáticos tienen ahora la capacidad de alquilar o comprar kits o herramientas phishing para robar credenciales y datos confidenciales.

Estos delincuentes pueden obtener estos kits de phishing por tan solo $20, mientras que los paquetes de recursos de alta gama valen alrededor de $200. A medida que se volvió más popular, la venta de kits para phishing se volvió más costosa, llegando a promediar alrededor de $120 en 2019.

En octubre del 2021, Microsoft publicó una investigación centrada en BulletProof Link PaaS y como fue usado para explotar al menos 300.000 subdominios con una sola campaña.

En el año 2021 pudimos ver el surgimiento de un nuevo kit de phishing llamado LogoKit, el cual coloca el logotipo de la víctima de forma automática en la página de inicio de sesión usada para la compilación de datos. El uso de este nuevo kit se detectó en al menos 700 dominios diferentes, imitando sus funciones primordiales, entre los afectados fue posible apreciar desde cuentas Adobe Document Cloud y SharePoint hasta cuentas de administrador para Office 365 OneDrive y muchos otros.

La ingeniería social patrocinada por el estado continúa

La infraestructura digital es parte integral del operar diario de una nación, por lo cual países con intenciones no muy claras están incrementando su participación en guerras cibernéticas, ya que estos tipos de ataques promueven interés por una nación tanto internamente como en el extranjero. Los tipos de ataques son diversos y variables, puede ir desde el bloqueo de un sitio estadal hasta el saboteo parcial o total del sistema financiero de un país.

Según diversos reportes, Microsoft envió cerca de 13.000 notificaciones advirtiendo a los titulares de cuentas sobre ataques patrocinados por gobiernos extranjeros entre julio del 2019 y junio del 2020. Esta fue la misma táctica usada por criminales informáticos rusos para piratear y filtrar mensajes de correos de la Convención Nacional Demócrata con el propósito de destruir a la antigua candidata presidencial estadounidense Hillary Clinton, lo cual consiguieron con un increíble nivel de éxito.

Agrega a la ecuación los altos niveles de piratería de datos fomentadas por estados a nivel mundial y puedes darte cuenta cómo los gobiernos se valen de los medios digitales para librar una nueva forma de guerra moderna. Los combates entre ejércitos irán disminuyendo paulatinamente, mientras que las batallas en los espacios digitales entre naciones irán en aumento.

El phishing es la constante que no varía

A pesar de todas las nuevas amenazas que podemos apreciar actualmente, el phishing sigue siendo una de las tácticas más usadas por los piratas informáticos para afectar de forma negativa cualquier sistema. Ya habíamos mencionado como la pandemia de COVID-19 resultó en un aumento de los ataques phishing por múltiples razones, están incluyen la disminución de alertas por parte del personal que le tocó trabajar desde casa, la continua explotación de temores infundados por el contagio del virus y las estafas relacionadas con la administración de vacunas. Muchas de estos esquemas siguen activos a pesar del inicio de flexibilización de medidas y estos seguirán siendo particularmente efectivos durante este 2022.

Suplantación de identidad con consentimiento

El phishing con consentimiento es una táctica de ingeniería social que usa aplicaciones maliciosas para solicitar el permiso de usuarios para acceder a los recursos disponibles en la red de una organización específica, generalmente este tipo de aplicaciones no necesitan ejecutar código en el dispositivo del usuario, lo que hace que sea fácil eludir la seguridad.

El ataque al Instituto SAN, el pasado agosto del año 2020 es un gran ejemplo de phishing aplicado con consentimiento. Esta intervención resultó en la fuga de 28.000 registros de información de identificación personal (PII, según sus siglas en inglés). Se llevó a cabo a través de un complemento malicioso agregado al sistema Office 365 el cual provocó que una cuenta de correo de un miembro del personal reenviará automáticamente los mensajes de correo a la dirección dispuesta por el atacante.

Phishing con “caña”

Otra tendencia de phishing que empresas y organizaciones deben tener en cuenta este 2022 es el phishing con “caña”. Esta táctica es modestamente elaborada, ya que el atacante se pone en contacto con gente a través de sus redes sociales mientras se hace pasar por un agente de servicio de una empresa; dado que mucha gente usa las redes sociales para buscar asistencia, esto hace que el ataque sea efectivo en hacer que los usuarios a divulguen sus credenciales.

Con el incremento en el uso de redes sociales durante la pandemia, las empresas y organizaciones deben estar atentas y esperar un aumento en los ataques phishing con caña durante el 2022, los atacantes aplican estas tácticas debido a su alto nivel de efectividad, creando cuentas falsas para la “atención al cliente” haciéndose pasar por una empresa que no tenga presencia en una red específica y luego solo les queda esperar a que alguien muerda el anzuelo y les soliciten ayuda.

Instituciones universitarias aseguran su infraestructura

La educación superior es y seguirá siendo un objetivo altamente atractivo para los piratas informáticos durante el 2022, es por eso que las tendencias de seguridad cibernética en estas instituciones incluyen la adopción de protocolos de seguridad en sus infraestructuras de correo electrónico. Cada vez más instituciones se dan cuenta de la importancia de implementar políticas SPF, DKIM y DMARC para mantener segura las amplias cantidades de información de identificación personal (PII) que manejan, así como también información centrada en las investigaciones de la institución y los registros médicos de su personal.

Según Microsoft Security Intelligence, el sector educativo ha experimentado la mayor cantidad de encuentros con malware, más que cualquier otra industria solo en los últimos 30 días; una encuesta realizada por Campus Technology en el año 2021 afirma que las instituciones que sufrieron ataques en línea gastaron un promedio de 366.000 dólares recuperando su data; la encuesta afirmó también que al menos un tercio de estas instituciones pasó un mes o más tiempo intentado identificar, lidiando y recuperándose del ataque. 

Los piratas informáticos ponen bajo la mira a los proveedores de servicios administrativos (MSP)

Los MSP (o Managed Service Providers, por sus siglas en inglés) siempre tienen acceso a la red y los sistemas de sus clientes. Los MSP requieren herramientas de administración y monitoreo remoto para acceder, administrar y controlar las redes de sus clientes de forma remota. Los piratas informáticos pueden explotar las herramientas RMM para tener acceso remoto desde un entorno MSP que ha sido comprometido para fines maliciosos.

Los MSP tienen muchos clientes en diferentes industrias, y apuntar a estos administradores es más valioso para los criminales informáticos, ya que estos solo necesitan poner un blanco sobre un MSP específico, ya que tienen la posibilidad de obtener acceso a la información y los activos digitales de muchas empresas o entidades comerciales. Por ejemplo, al pedir rescate por un MSP, el atacante puede exigir un pago sustancial de su parte o una serie de cuotas menores por parte de cada cliente afectado.

Los proveedores de servicios administrativos necesitan tener sistemas de seguridad poderosos para asegurar la protección de los datos de sus clientes. Un ejemplo: si el MSP no protege su infraestructura de trabajo de algo tan simple como el phishing y la suplantación de identidad usando protocolos de seguridad del correo tales como SPF, DKIM y DMARC, los clientes se verán afectados por ataques de phishing, flujos extremos de spam, ransomware y demás malware nefastos.

Los accesos a correos electrónicos empresariales (BEC) se vuelven costosos

Según la Oficina Federal de Investigaciones (FBI), los accesos a correos electrónicos empresariales (o BEC: Business Email Compromise, según sus siglas en inglés) es uno de los delitos en línea más dañinos desde la óptica financiera. Este ataque se aprovecha del solo hecho que una organización depende de un sistema de correos para llevar a cabo sus negocios y operaciones. Los piratas informáticos se hacen pasar por contactos comerciales legítimos para atraer a sus objetivos y usar tácticas de ingeniería social para que estos transfieran fondos u otorguen acceso a recursos confidenciales de la empresa.

Un estudio de Ponemon del 2021 resaltó que el costo anual promedio de los ataques phishing que ofrecen acceso a correos electrónicos empresariales es de al menos 5.56 millones de dólares, si el ataque involucra líderes empresariales, el costo potencial se eleva mucho más, estimándose en más de 150 millones de dólares.

Incluso si este nivel de riesgo no recibe la atención de ejecutivos de alto nivel, el monto total promedio pagado a piratas informáticos que llevan a cabo ataques de acceso a correos electrónicos empresariales es de 1.17 millones de dólares aproximadamente. Según Gartner, los ataques BEC continuarán incrementados anualmente hasta el año 2023, incrementando su impacto promedio en un costo de 5 millones de dólares por víctima.

Las criptomonedas y la ingeniería social van mano a mano

El mundo de las criptomonedas ha venido experimentando un auge desde la introducción de Bitcoin en el 2008, tanto así que en la actualidad una unidad de BTC está valorada en 41.000 dólares (su precio puede haber cambiado al momento de escribir esta nota). La emoción por los mercados de criptomonedas generan ganancias masivas que han atraído a muchísima gente a estos espacios que no conoce, o entiende muy bien el funcionamiento de esta tecnología en un muy corto tiempo.

Es la gente con poco conocimiento de este mercado la que termina invirtiendo en este sin hacer una investigación previa. Como es bien sabido, la ingeniería social se aprovecha del miedo, y el conocimiento a medias, también se aprovecha de la codicia de muchas de estas personas, cuya única motivación es ganar dinero de forma rápida. Esto lleva a muchos aspirantes a inversionistas en criptoactivos a tragarse promesas falsas hechas por la promoción de activos digitales que hacen despliegues de lanzamientos con obsequios e incentivos. En el año 2021 solamente, los piratas informáticos lograron estafar unos sólidos 14 mil millones de dólares en criptomonedas, y en este 2022 lo más seguro es que veamos una tendencia creciente en este ámbito.

Pensamientos de cierre

A medida que la tecnología avance, los atacantes seguirán aprovechando las mejores y últimas tendencias para que sus tácticas de ingeniería social sean más convincentes. Las empresas y organizaciones tienen el deber de mantenerse al corriente con las tendencias de protección contra la ingeniería social en esta era digital y asegurarse de emplear las mejores prácticas de seguridad para contrarrestar los métodos de ataque emergentes.

Es imperativo educar a tus empleados con todo lo referente a las tácticas de ingeniería social que utilizan los piratas informáticos para comprometer los sistemas de red; asegúrate de instalar un antivirus sofisticado en tus redes, emplea los mejores y más recientes protocolos de seguridad para tu infraestructura de correos electrónico y mantenlos actualizados en todo momento.

 

La Historia Del Correo Electrónico

¿Qué tan seguros son tus correos electrónicos? Te explicamos en qué consiste la seguridad de tu correo electrónico

¿Qué es el Pharming y cómo podemos prevenirlo?

 

¿Qué es una firma DKIM?

¿Qué es una firma DKIM?

En el año 2020, hubo un aumento vertiginoso en el uso de los correos...

Read More
Los 10 mejores canales de YouTube sobre seguridad cibernética

Los 10 mejores canales de YouTube sobre seguridad cibernética

Si tienes interés en iniciar una carrera en el desafiante mundo de la seguridad...

Read More
DMARC y su relación con las Instituciones Financieras de Sudáfrica

DMARC y su relación con las Instituciones Financieras de Sudáfrica

El sector financiero sudafricano, en especial los bancos, las compañías de préstamos y las...

Read More