Aunque es un tema recurrente en nuestras investigaciones, debemos prestar especial atención a los ataques de tipo "spear-phishing" por ser uno de los métodos más eficientes para conseguir acceso a una infraestructura tecnológica. En este escenario la vulnerabilidad se encuentra en el lado humano del sistema, donde un atacante busca obtener información con el uso de ingeniería social y estudio del comportamiento en línea de la víctima.

En el "Data Breach Report" de Verizon, se puede confirmar que los atacantes no hacen distinción entre pequeños negocios o grandes empresas a la hora de definir sus objetivos, ya que un 43% de todos los incidentes reportados las víctimas fueron pequeños negocios.

Más del 40% de los ataques a pequeñas y grandes empresas se lograron utilizando técnicas de "phishing" para el eventual robo de credenciales o información privilegiada.

En la actualidad, un gran número de empresas ha mudado su plataforma a la nube para amortizar costos y por la confianza que tienen en la seguridad de la infraestructura tecnológica de los grandes proveedores (Google, Amazon,...), no obstante, un ataque bien preparado contra un usuario, al cual previamente se le extrajo una cantidad de datos personales mediante ingeniería social, podría permitir a un atacante remoto acceder a la información almacenada en la nube con resultados catastróficos y una posible fuga masiva de información.

El nivel de seguridad tecnológica aplicada a la infraestructura es casi irrelevante cuando el objetivo es un usuario, y en este punto, se ponen a prueba las configuraciones, políticas de permisología y acceso, además privilegios y perfiles de usuario definidos para minimizar el impacto de una brecha de seguridad en nuestro sistema.

Recomendaciones

De acuerdo a Sophos, estas son las recomendaciones que podemos seguir para evitar este tipo de ataques:

1. No te sientas presionado porque el remitente parece saber demasiado acerca de ti

Con información que pudo obtener de las bases de datos publicas (tus redes sociales, correos históricos, entre otros), puede proveer argumentos bastante convincentes, y personificar a un amigo, conocido o empresa que suelas utilizar y de la cual has dejado rastro en línea. Lo mejor es siempre desconfiar cuando alguien esta solicitando información adicional sobre ti.

1. No te apresures a enviar datos solo porque el remitente dice que es urgente

Muchas de estas estafas funcionan porque los atacantes se ganan tu confianza y te hacen pensar que es una persona de alto perfil en tu organización, entonces demandan con urgencia la información. Recurren a halagos del "por qué" te están preguntando a ti en vez de a otra persona he insisten que la conversación es confidencial y no debes decirle a nadie. Nunca pienses que es "prudencia" si la otra persona demanda secreto total, piensa más bien que es "sospechoso".

1. No confíes en los detalles que proporcione el remitente cuando buscas verificar su autenticidad

Los estafadores se encargaran de desanimarte cuando trates de buscar información sobre ellos. Te urgirán en que los llames, visites su sitio web, entre otros, como parte de la estafa. En un caso muy conocido, hay estafadores que dicen ser representantes de Microsoft, y te contactan para una revisión técnica gratuita, cuando intentas averiguar quienes son y porque te están llamando, o algún número oficial para devolver la llamada tienden a tornarse agresivos o simplemente terminar la comunicación.

1. No sigas instrucciones de "cómo ver el contenido"

Algo muy común para los delincuentes es esconder contenido malicioso -como software para el robo de datos (macros)- dentro de inocentes documentos de Word, e indican que el documento contiene información que, para ver "correctamente", debemos cambiar varias configuraciones de seguridad y permitir la ejecución de códigos o acceso remoto a nuestro computador.

1. No tengas miedo de preguntar por una segunda opinión

Si alguna vez le pidió a sus colegas que revisen sus documentos o correos electrónicos, a menudo encontrarán errores que no puede creer que haya pasado por alto. Esto se debe a que una segunda opinión usualmente es una revisión detallada. De hecho, esa es la razón principal por la que los delincuentes le instan a no decirle a nadie lo que está haciendo, para evitar que obtenga una segunda opinión y, por lo tanto, lo atrape.

Educación es el mejor camino para prevenir

En Greyhat Security ofrecemos una charla gratuita en modo presencial o remoto, tanto en idiomas inglés como español sobre conciencia de usuario, cómo prevenir el caer en las estafas en línea y cómo estar seguros en el día a día digital. Solicite más información y reciba la capacitación necesaria en este y muchos otros temas.

Acerca del Autor

Alex Barrios

Cuenta con más de 15 años de experiencia en distintos campos de las tecnologías de información, ejerciendo principalmente como desarrollador fullstack, administrador de sistemas y asesor de seguridad informática certificado (OSCP, OSCE, OSWP, Hardware Security, Software Security, Usable Security).