El panorama de amenazas ha crecido y evolucionado hasta alcanzar una increíble sofisticación en los últimos años. Eso sí, para la mayoría de los ciberdelincuentes, el objetivo de ataque sigue siendo el mismo: las personas. Ya sea phishing, robo de credenciales, fraude del CEO (BEC) o estafas con facturas, entre otros, los atacantes emplean tácticas y técnicas diseñadas para engañar a usuarios y que estos hagan clic o descarguen archivos maliciosos por error.
Por supuesto, cuanto más se conozcan estas técnicas, mejor se podrá mantener a las amenazas a raya. Pero no es tan sencillo. Cuanto mejores son los equipos de seguridad para detectar y disuadir las tácticas de ingeniería social, más evolucionan los métodos de los ciberdelincuentes. El resultado es una desconexión entre la forma en que esperan los equipos de seguridad que se comporten los atacantes y cómo estos interactúan realmente con los usuarios.
1. Los ciberdelincuentes no establecen una relación con los usuarios antes del ataque. Pese a que la confianza y la autenticidad son cruciales para que un ataque de ingeniería social tenga éxito, muchos creen que los ciberdelincuentes dedican poco tiempo a construir una relación con sus víctimas. Precisamente es todo lo contrario: los atacantes empiezan por enviar correos o entablar conversación con los usuarios de manera afable para generar una falsa sensación de seguridad.
2. Los servicios legítimos son siempre seguros. Con Google, Microsoft y Dropbox siempre dispuestos a reforzar su seguridad, no es de extrañar que muchos crean que sus plataformas se libran de la ingeniería social; y nada más lejos de la realidad. Los ciberdelincuentes abusan regularmente de servicios legítimos para recopilar credenciales y distribuir malware, a sabiendas de que esto da un aire de credibilidad a sus mensajes maliciosos. El año pasado se rastrearon casi 1.000 campañas que usaban estos servicios, lo que representa alrededor del 14% de todas las campañas analizadas.
3. Los atacantes no utilizan el teléfono. En contra de la creencia generalizada, las amenazas por correo electrónico no se hacen solo con ordenadores. Es cierto que la comunicación digital casi siempre está implicada en los ataques de ingeniería social modernos, pero no es raro que el email sea simplemente el punto de partida.
4. Si se responde a un correo existente, no hay riesgo de ingeniería social. Constantemente se advierte a los usuarios de que deben estar atentos a cualquier cosa inusual o sospechosa en su correo. Un email nuevo de un remitente nuevo puede que haga saltar las alarmas antes que una respuesta a un hilo de correo existente. Los ciberdelincuentes son conscientes de ello y, por eso, emplean técnicas como phishing o malware para llegar a la bandeja de entrada.
5. Solo se usan contenidos sobre empresas. No cabe duda que las empresas son objetivos de ataque más valiosos que un simple individuo. Por eso, los correos de uso profesional se enfrentan a un aluvión de amenazas todos los días. Sin embargo, aunque los atacantes tengan en el punto de mira las arcas de empresas y sus datos, saben que para llegar a ellos tienen que pasar por los empleados, y estos son humanos.
Comments