Proofpoint ha mantenido desde hace tiempo que las personas, no la tecnología, constituyen la variable más crítica del éxito de un ciberataque. Y mientras esta afirmación ha ganado más impulso año tras año, los eventos de 2020 la han puesto de verdad en el centro de atención.
La pandemia vio cómo equipos de todo el mundo se apresuraban apoyar y proteger el teletrabajo, con superficies de ataque y puntos de entrada que aumentan rápidamente, casi de un día para otro.
Esto presentó una oportunidad increíble para los ciberdelincuentes, y no dudaron ni un segundo en aprovecharla. A mediados de marzo de 2020, casi el 80 % de todas las amenazas que analizamos a diario utilizaban temas relacionados con la COVID-19. Prácticamente todos los ciberdelincuentes que supervisamos utilizaron contenido relacionado con la pandemia en algún momento de 2020.
Ahora en 2021, cuando la mayoría de nosotros conocemos bien la nueva forma de trabajar, puede que hayan cambiado los señuelos que utilizan los ciberdelincuentes, pero no la focalización implacable de los ataques contra nuestros empleados.
Estos ataques centrados en las personas requieren defensas también centradas en las personas. Y esto solo es posible si conoce:
- Dónde son más vulnerables los usuarios
- Cómo les atacan los ciberdelincuentes
- El daño que provocan cuando consiguen comprometer cuentas con privilegios
Los usuarios a prueba
Los niveles de concienciación en materia de seguridad son la piedra angular de toda ciberdefensa eficaz. Por tanto, debe evaluar regularmente su capacidad para identificar amenazas. Los ejercicios de phishing simulado constituyen una parte esencial de esta estrategia.
Nuestro informe anual State of the Phish analizó las respuestas de los usuarios a más de 60 millones de mensajes de correo electrónico de phishing simulado durante 2020. La comparación de las tasas de fallos medias muestra dónde los usuarios son más vulnerables.
- El 20 % de los usuarios no superaron las pruebas de phishing basadas en adjuntos. Esto es cuando los ataques contienen archivos maliciosos.
- El 12 % no superaron las pruebas basadas en enlaces e hicieron clic en URL no seguras.
- El 4 % no superaron las pruebas de basadas en la introducción de datos. Esto es cuando se convence a un usuario para que inicie sesión en una página falsa y se le piden las credenciales.
Si bien es fundamental que ponga a prueba la concienciación de los usuarios sobre amenazas comunes como el phishing y el robo de credenciales, es importante señalar que no todos los ataques que tienen éxito son los más comunes.
La esteganografía, por ejemplo, que implica la ocultación de código malicioso en fotografías y otros tipos de archivos, se utilizó solamente en algunas campañas dirigidas. Sin embargo, genera tasas de clics superiores a 1 de cada 3.
Las campañas CAPTCHA fraudulentas son relativamente poco frecuentes también, y aun así generaron una tasa de clics en 2020 que fue 50 veces mayor que en 2019.
Conozca a sus atacantes
Una vez que conoce a los atacados, es hora de conocer a los atacantes. En 2020 Proofpoint identificó 69 actores de amenazas activos.
Los ciberdelincuentes utilizan una amplia variedad de técnicas para esquivar los controles de seguridad, engañar a las víctimas para que activen el ataque e infectar los sistemas. Pero con independencia del método o incluso del motivo, las técnicas que requieren la interacción del destinatario con un adjunto o directamente con los ataques crecieron de manera considerable.
No resulta sorprendente que el robo de credenciales siga a la cabeza, siendo responsable de más de dos tercios de todos los mensajes maliciosos el año pasado. Esta amenaza no solo genera daños importantes por sí sola, sino que puede ser también un primer paso para un ataque más devastador: Business mail compromise (BEC).
Unas de las amenazas más dañinas desde el punto de vista financiero para empresas de todos los tamaños, las estafas BEC representan el 44 % de todas las pérdidas por la ciberdelincuencia denunciadas, y costaron a las organizaciones cerca de 1800 millones de dólares solo en 2020.1
El ransomware también va en aumento, y aumentó un 300 % el año pasado. En total, observamos más de 48 millones de mensajes capaces de ser utilizados como punto de entrada de payloads maliciosas.
Los troyanos de acceso remoto también siguen siendo populares y aparecieron en casi el 25 % de todas las campañas de amenazas por correo electrónico el año pasado.
Protección de los usuarios con privilegios
Los ataques contra cualquier miembro de su organización pueden ser potencialmente devastadores. Pero los ataques contra los que cuentan con acceso con privilegios a redes, sistemas y datos pueden ser catastróficos.
Un usuario de alto nivel comprometido representa una importante amenaza interna, por lo que resulta fundamental que redoble esfuerzos para proteger las cuentas con privilegios. La rápida transición a modelos de teletrabajo junto con el cambio en la telemetría de registro y la evolución de las solicitudes de acceso ha complicado todavía más este proceso.
Los ciberdelincuentes son perfectamente conscientes de este hecho y ya están adaptando sus tácticas en consecuencia. Las organizaciones también deben adaptarse y supervisar una amplia variedad de alertas de amenazas internas en informática. Las principales fueron:
- Conexión de dispositivos USB no registrados
- Copia de un archivo o carpeta de gran tamaño
- Filtración de un archivo supervisado a la web mediante subida
- Apertura de un archivo con contraseñas en formato de texto no cifrado
- Descarga de un archivo con una extensión potencialmente maliciosa
Diseño de una defensa centrada en las personas
Los ciberataques son inevitables, pero muchos no pueden tener éxito sin ayuda humana. Por eso todas las organizaciones deberían poner a sus empleados en el centro de su estrategia de ciberdefensa.
Despliegue una solución que permita ver a quiénes se dirigen los ataques, cómo se les ataca y cómo responden. Descubra cómo: Lea el informe El factor humano 2021.
1 Fuente: FBI. "2020 Internet Crime Report" (Informe sobre delitos en Internet de 2020). Marzo de 2021.