Todos debemos tratar la seguridad de la información como el rubro más importante a tener en cuenta al momento de compartir información en medios públicos (redes sociales y blogs, entre otros) y en los sistemas internos de las empresas en las que interactuamos con otros.

Hoy, las empresas comienzan a darse cuenta de que los ataques dirigidos a su personal, aplicando técnicas de ingeniería social, son la entrada directa a cibercriminales para que estos puedan obtener información privada. Como sabemos, el riesgo humano continúa estando latente en todos los ámbitos y es un medio que usarán los delincuentes para afectar los activos de las empresas.

El mundo se encuentra bajo un número estratosférico de ataques de ingeniería social dirigidos a cualquier empresa, sin importar el ramo. Alrededor de 10 millones de ataques de malware fueron registrados en México entre enero y agosto de 2020, con un pico en marzo que alcanzó 3,944,488 envíos de malware.

Ataques dirigidos a la nube

En el futuro próximo, uno de los objetivos de los atacantes será corromper los sistemas existentes en la nube para ganar acceso a ellos mediante campañas de phishing. Uno de los ejemplos más claros hoy en día es el uso de aplicaciones para acceder a Office 365 y G Suite por medio de alojamiento de software malintencionado que se encuentra embebido en correos electrónicos maliciosos y en enlaces públicos docs.google.com/, pues es poco probable que una organización bloquee un domino de Google.

OneDrive será uno de los blancos de los atacantes

 

De igual manera, los cibercriminales buscarán la forma de alojar servicios en la nube con el objetivo de alojar páginas Web maliciosas o versiones Beta de software, también maliciosas.

Entonces, ¿cómo podemos protegernos ante estos ataques? Algunas recomendaciones, a continuación:

  • Identificar y evitar abrir archivos recibidos por correo electrónico de remitentes desconocidos, sobre todo si anexan instrucciones que normalmente no se realizan.
  • Comparar los dominios entre el original y el posible sitio malicioso; identificar errores de ortografía en los correos electrónicos o sitios Web, así como los remitentes de correo electrónico desconocidos.
  • No usar la misma contraseña en más de una cuenta, servicio o página.
  • Realizar compras en sitios confiables y auténticos. Nunca hacer clic en enlaces embebidos en un correo electrónico o mensaje de redes sociales, hay que buscar el enlace del vendedor o del promocional por fuera, de manera directa.
  • Desconfiar de las ofertas «imperdibles». Aquellas que ofrecen productos milagrosos o con descuentos muy atractivos.
  • Las organizaciones deben evitar los ataques de día cero apostando por una infraestructura de protección de extremo a extremo que permita implementar políticas en el servidor de correo para evitar dominios fraudulentos, o en su caso filtrado web, y proporcionar alertas sobre la reutilización de contraseñas en tiempo real.

En los siguientes enlaces se abordan algunas de las maneras en las que los atacantes obtienen los accesos a la nube:

https://www.youtube.com/watch?v=AE7LzTOklng

https://www.youtube.com/watch?v=IHBoUADMrHc

Ataques de phishing cada vez más especializados

Como sabemos, el phishing es la forma de amenaza más común en relación con ataques de ingeniería social, el cual se basa en engañar o tratar de persuadir a la persona que recibe un correo electrónico para que este haga clic en el enlace dentro del correo y así pueda consumarse el ataque, obteniendo información personal o de una organización.

Saber qué es un ataque de phishing no es suficiente, conforme estos ataques se vuelven más especializados y utilizan nuevas herramientas, habrá que mantener un esfuerzo de concientización para que las personas entiendan e identifiquen cómo evolucionan los ataques.

Algunos tipos de ataque

  1. Las redes sociales participan para engañarnos.

Las redes sociales son uno de los principales escenarios para ataques de ingeniería social. Aplicaciones como Facebook, Twitter o Instagram estarán de ahora en adelante ligadas a este tipo de ataques, pues es muy fácil realizar publicaciones maliciosas promocionando productos o servicios muy atractivos, invitando a las personas a hacer clic al enlace publicado,  que en realidad llevará a la descarga de malware en los equipos.

Nuestras redes sociales están expuestas cada día más a ataques

Es difícil saber cuáles de las publicaciones que vemos en redes sociales son verídicas y cuáles no. Siempre encontraremos mensajes tentadores, pero debemos mantenernos alertas y no dejarnos llevar y, antes de hacer clic, tratar de autenticar su veracidad.

  1. WhatsApp con mensajes extraños.

Otra aplicación que entra en este ámbito es la que comúnmente usamos para comunicarnos con familiares, amigos y socios de negocio: WhatsApp, en la cual el fraude llega como mensajes instantáneos en los que suplantan la identidad de tu banco, se reciben “descuentos” en restaurantes de comida rápida, y hasta de aerolíneas indicando que has ganado pasajes de avión.

En el ámbito profesional los ataques pueden indicar, por ejemplo, que tu cuenta de correo electrónico se desincronizó y que debes entrar a una liga para resolver el problema, robando así información confidencial, como el usuario y contraseña de correo electrónico.

¿Cómo podemos ayudarnos para no ser víctimas?:

  • Identificar cada uno de los números que nos envíen mensajes a nuestros equipos móviles.
  • Nunca responder mensajes de números que no conozcamos, por más que nos señalen que son parte de la organización. Hay que validar directamente con la organización o con los superiores, para notificar sobre los mensajes recibidos.
  • En caso de contar con un móvil que fue proporcionado por la organización, solo hay que hacer uso de este para temas laborales y no mezclar información personal dentro de los mensajes.
  1. Los correos electrónicos maliciosos continuarán en las bandejas de entrada

Debido a la pandemia que estamos viviendo, el trabajo desde casa (home office) se ha posicionado en nuestra vida laboral como un cambio que permanecerá por mucho tiempo e incluso será la nueva forma de trabajar para muchos de nosotros. Lo anterior acarrea nuevos retos y amenazas a la seguridad de la información, al mover muchos equipos de cómputo fuera del “perímetro tradicional” de la oficina.

¿Qué podemos hacer?:

  • Debemos mantener contacto directo con el área de seguridad o el área encargada de actualizar los antivirus y otros dispositivos de seguridad en los equipos informáticos asignados por la organización.
  • Si la empresa lo requiere, usar soluciones de VPN para conectarse a la red interna de la organización.
  • Mantener cifrada la información que sea privada o clasificada.
  • Nunca ingresar nombres de usuario y contraseñas en sitios que no se identifiquen primero como seguros y de una fuente válida. Mediante suplantación, los atacantes están aprovechando que las empresas crean sitios públicos para mantener el contacto con los miembros de la organización.
  1. Deep learning ¿Nos engañaran por medio de inteligencia artificial?

Esta nueva forma de engaño se está convirtiendo en la técnica más sofisticada para realizar suplantación de identidad. Se basa en el aprendizaje con inteligencia artificial para manipular imágenes en un video en las que el software analiza el material de origen, extrae parte de él y luego lo inserta al momento de reproducirse adaptándolo en la imagen final, generando “videos en vivo” de la persona a la que se está suplantando.

Esta tecnología se está popularizando para generar noticias falsas y sus principales víctimas han sido celebridades y políticos, ya que sus rostros están disponibles en múltiples videos públicos, mostrándolos en videos de contenido adulto o haciendo declaraciones fuera de lugar.

Lo peor del asunto es que el hardware y software requerido es cada vez menos sofisticado: ya hay aplicaciones para dispositivos móviles, como FakeApp, que pueden ser descargadas para sistemas operativos iOS y Android.

Lo preocupante es que, en un futuro cercano, comenzarán a generarse vectores de ataque para realizar la suplantación de identidad del personal en empresas, para extraer información y así generar nuevos vectores de ataque que derivarán en permisos brindados a personas desconocidas para acceder de manera ilegal a las instalaciones de las organizaciones.

En la siguiente liga podrán ver un video que muestra cómo es que funciona este tipo de software: https://www.youtube.com/watch?v=iHv6Q9ychnA

 

[email protected]