Así evolucionan las técnicas de ingeniería social de los ciberdelincuentes para llamar la atención

A pesar de los esfuerzos defensivos, los atacantes continúan defraudando, extorsionando y exigiendo miles de millones de dólares en rescates de las empresas cada año. Sus estrategias para conseguir clics de los usuarios cambian constantemente, por lo que la lucha contra el cibercrimen también evoluciona. En un informe, un equipo de investigación de la firma de ciberseguridad y cumplimiento Proofpoint analizó las técnicas de ingeniería social más utilizadas por los atacantes, al tiempo que refutó algunas de las suposiciones falsas que las organizaciones y los gerentes de seguridad deben abandonar para proteger mejor a los empleados.

La ingeniería social siempre está bajo el ataque de los ciberdelincuentes que utilizan el correo electrónico como medio de acceso inicial. Desde ataques por razones económicas, hasta compromiso de correo electrónico empresarial (BEC) o amenazas persistentes avanzadas (APT), existen innumerables formas de explotar el comportamiento de los usuarios cuando abren y responden correos electrónicos.

«Con anterioridad, los responsables de seguridad han priorizado el refuerzo de defensas en torno a la infraestructura física y basada en cloud», explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. «Esto ha hecho que las personas se conviertan en puerta de entrada de compromisos y, como consecuencia de ello, se estén desarrollando una amplia gama de técnicas y contenidos con los que explotar los comportamientos e intereses humanos».

Según Proofpoint, estas fueron algunas de las claves de la ingeniería social en 2021:

  • Los ciberdelincuentes utilizan frecuentemente servicios populares, como Google Drive o Discord, para convencer a sus víctimas.
  • Los atacantes pueden llegar a establecer una relación de confianza con ellas mediante conversaciones prolongadas en el tiempo.
  • Conocen y saben cómo utilizar hilos de conversación existentes entre contactos, echando mano también de temas de actualidad o relevantes, para llevar a cabo sus amenazas.
  • Proofpoint tiene constancia de millones de mensajes fraudulentos en los que se insta a los usuarios a hacer llamadas telefónicas como parte de la cadena de ataque.

El informe hace referencia también a varios ejemplos de sofisticados ataques de ingeniería social, entre los cuales destaca los siguientes:

  • El grupo TA499 (alias Vovan/Lexus), alineado con Rusia, se hace pasar por la esposa del líder de la oposición, Alexei Navalny, en sus ataques con objetivos del Estado.
  • Desde Corea del Norte, TA406 se dedica a ataques de phishing para lograr datos de acceso en campañas relacionadas con la seguridad de armas nucleares y la actividad del presidente de Estados Unidos, Joe Biden. 

Los expertos recuerdan que a medida que las personas identifiquen mejor las amenazas que potencialmente pueden llegar a su bandeja de correo, los ciberdelincuentes tendrán que encontrar nuevos métodos, aunque eso signifique comportarse de manera distinta a lo que se espera de ellos.

Mientras tanto, el uso de la ingeniería social en ataques seguirá siendo generalizado por su eficacia y, según Proofpoint, es poco probable que eso cambie pronto. Las organizaciones criminales más sofisticadas se han crecido para imitar a empresas legítimas, ser más resistentes y conseguir mayores beneficios. Hasta que no aparezca otro factor que sea más vulnerable que las personas, los ciberdelincuentes continuarán aprovechándose de comportamientos, instintos y emociones.

Por ello, Proofpoint recuerda que las organizaciones deben inculcar a sus empleados la idea de que la actividad maliciosa de los atacantes es algo habitual, incluso inevitable. Una vez que esto se acepte ampliamente y se integre mejor la notificación de amenazas en los flujos de trabajo, más difícil lo tendrán los atacantes para explotar el factor humano.

Ir arriba