Los ciberdelincuentes son cada vez más sofisticados a la hora de atacar a las personas. Y los sitios web que parecen legítimos, pero que son peligrosos, son una plataforma habitual para sus campañas.
Es fácil que la gente sea complaciente cuando realiza tareas diarias online como investigar, comprar, pagar facturas o consultar las redes sociales. Considere las conclusiones de la investigación de Proofpoint de nuestro informe State of the Phish 2023, que cubre el panorama de amenazas en 2022:
- Más de un tercio de los empleados que trabajan realizaron al menos una acción peligrosa, como hacer clic en un enlace malicioso o descargar malware, o exponer sus datos personales o credenciales de inicio de sesión.
- Más del 60 % de los empleados no saben que el texto de un enlace de correo electrónico puede no coincidir con el sitio web al que conduce.
Estos datos sobre las grandes lagunas de conocimiento son alarmantes. Nuestra investigación también muestra que el 84 % de las organizaciones se vieron afectadas por un ataque de phishing en 2022, y el éxito de estos ataques depende de que las personas hagan clic en algún elemento malicioso.
Las personas son la primera línea de defensa de una organización. Echemos un vistazo a las recientes tendencias de amenazas en la navegación web contra las que deben ser resilientes.
- Chatbots basados en inteligencia artificial como ChatGPT
- Phishing de autenticación multifactor (MFA)
- Ataques browser-in-the-browser (BitB)
El encanto y la alarma de los chatbots de IA
Los chatbots basados en IA se han popularizado rápidamente gracias a su capacidad para ayudar al instante mediante interacciones en lenguaje natural. ChatGPT es el chatbot basado en IA más conocido, pero hay otros como Microsoft Bing y Google Bard.
A menudo se accede a estos chatbots a través de un navegador web. La inmediatez de dar y recibir información abre muchos riesgos de seguridad para la desinformación y la información falsa.
Las personas pueden escribir información personal en el navegador en respuesta a un chatbot de IA. Y como hemos visto en el pasado con las inyecciones bancarias, cualquier transmisión de información personal a través del navegador podría convertirse en un objetivo para los atacantes.
Los chatbots recopilan datos de los usuarios para mejorar su rendimiento y personalizar sus interacciones. Esto también puede plantear problemas de privacidad sobre la información de identificación personal (PII). Si los datos no se almacenan de forma segura o no se cifran adecuadamente, podría producirse un acceso no autorizado que condujera al robo de identidades o a la fuga de datos.
La amenaza del phishing de autenticación multifactor (MFA)
La autenticación multifactor se ha convertido en una práctica de seguridad estándar, y por esto las técnicas de phishing MFA conocidas como "man-in-the-middle" han evolucionado para robar tokens MFA.
En un ataque de phishing MFA, la víctima accede a una página falsa que utiliza un proxy inverso para mostrar la interfaz de inicio de sesión de un servicio legítimo. Su intento de inicio de sesión parece desarrollarse con normalidad, pero cuando la víctima teclea su código MFA y otras credenciales de usuario, el proxy inverso intercepta y roba su token MFA.
Ahora el atacante puede eludir la capa de seguridad MFA y entrar en la cuenta del usuario. Pueden acceder a datos sensibles, información personal y detalles financieros. También pueden apoderarse de información personal para el robo de identidad o utilizar la cuenta para acceder a otros sistemas y datos privados.
Cuidado con los ataques browser-in-the-browser (BitB)
Esta forma avanzada de phishing de credenciales es difícil de detectar. Además de crear una página de phishing convincente, el atacante también crea una ventana emergente falsa de inicio de sesión único (SSO). Esto es lo que ven los usuarios cuando deciden iniciar sesión en un servicio con credenciales de un sitio de confianza como Google, Apple o Twitter.
El falso inicio de sesión SSO se crea modificando el código del sitio web de phishing para añadir otra página web independiente incrustada dentro de la página de phishing. Si el usuario introduce sus credenciales para el sitio de confianza, el atacante las recoge y puede obtener acceso a un componente clave de la identidad digital de la víctima.
Conclusiones: las acciones de las personas son las mejores defensas
Los navegadores web disponen de funciones de seguridad que le alertarán de opciones inseguras. Pero no evitarán que realice una acción peligrosa. Depende de cada persona detenerse, pensar y actuar o reaccionar. Por eso la formación y concienciación en seguridad es una parte esencial para ayudar a los usuarios a entender cómo reconocer las amenazas y aplicar sus conocimientos a situaciones reales.
Es fundamental prestar atención a los detalles de un sitio web y tener en cuenta elementos y comportamientos sobre su seguridad, como:
- Ventanas emergentes que parecen mensajes del navegador que solicitan que instale o actualice software.
- Descargas gratuitas como películas, música o vídeos que tienen software malicioso oculto.
- Ofertas gratuitas que piden información personal a cambio de un regalo.
- Aparición de marcas conocidas que crean una falsa sensación de seguridad. Puede que reconozca la marca, pero ¿parecen legítimas las imágenes?
- El nombre de dominio principal del sitio web es correcto (como "microsoft.com"), pero el resto de la URL tiene palabras u ortografía inusuales.
- URL de sitios web que aparecen en los resultados de búsqueda pero no son enlaces legítimos.
- URL abreviada de servicios como Bitly y TinyURL que pueden ocultar la verdadera identidad de un enlace.
- Mensajes de advertencia del navegador que indican que un sitio web no es seguro o no se puede autenticar.
- Funcionalidades sospechosas del navegador, como la falta de un certificado de seguridad.
- Un sitio web que le pide que introduzca información confidencial o financiera. No lo haga a menos que confíe en la fuente.
- Mantenga actualizado el software de su navegador para protegerse de los problemas de seguridad conocidos. Ten cuidado con las extensiones y las actualizaciones automáticas de los plugins.
"Navegación web - Ruta" es el tema del kit de concienciación en ciberseguridad 2023 de Proofpoint
Paso siguiente: consiga ya el kit del mes para la concienciación en ciberseguridad
Cada octubre se celebra el Mes para la concienciación en ciberseguridad, un momento importante para capacitar a los usuarios para que se protejan a sí mismos y a su organización frente a las amenazas actuales.
Para ayudar a sus iniciativas este mes de octubre, Proofpoint ha lanzado un kit gratuito de concienciación sobre ciberseguridad 2023 que se centra en el tema crucial de la navegación web segura. El kit Navegación web - Ruta tiene cuatro semanas de contenido seleccionado y comunicación sobre la seguridad en Internet, junto con la preparación previa al lanzamiento y sugerencias sobre cómo cerrar la campaña.
Descargue y utilice nuestro Kit del mes para la concienciación en ciberseguridad durante todo el mes de octubre, o siempre que necesite un impulso para su programa.
Es probable que un programa de concienciación en seguridad durante todo el año ofrezca mejores resultados a la hora de reducir el riesgo asociado a sus empleados. Visite nuestro Portal de concienciación en ciberseguridad para obtener más información sobre cómo puede convertir a sus usuarios en guerreros de la ciberseguridad, tanto en el trabajo como en casa.