Con unos 3.400 millones de solicitudes maliciosas de información enviadas por correo electrónico cada día, el phishing es la forma de ciberataque más extendida en el mundo. Muchas empresas tienen la creencia errónea de que identificar los intentos de phishing es sencillo, y que sus empleados nunca sucumbirían a una solicitud sospechosa de sus datos de acceso.

Sin embargo, una serie de recientes incidentes de phishing en empresas de renombre como Cisco, Twilio y Uber ha llamado la atención sobre una realidad sorprendente:

• Los agresores del phishing emplean ahora tácticas más sofisticadas que nunca, incluidos mensajes y correos electrónicos generados por inteligencia artificial para aumentar su realismo.
• Como vector de malware y ransomware, el phishing supone una amenaza extrema para cualquier empresa.
• Incluso con estrictas medidas de seguridad, ninguna empresa es totalmente inmune al riesgo de error humano que aprovecha el phishing.
• Los autores modernos de phishing aprovechan las vulnerabilidades humanas para eludir incluso los protocolos de seguridad más avanzados, como la autenticación multifactor (MFA).
• Unas rutinas poco favorables y la falta de concienciación de los empleados crean las condiciones perfectas para un ataque de phishing del siguiente nivel.

¿Está tomando su empresa todas las medidas necesarias para proteger sus datos sensibles y evitar ser la próxima víctima de phishing? ¿Dispone de la formación y las tecnologías adecuadas? ¿Realiza evaluaciones activas de los riesgos de phishing para detectar posibles amenazas? E incluso si lo hace, ¿puede estar seguro de su seguridad?

En este artículo, profundizamos en los peligros del phishing y en cómo puede reducir el riesgo de error humano para mejorar la seguridad de sus sistemas internos.

Subiendo la apuesta: Phishing avanzado

Hemos avanzado mucho desde la aparición del phishing a finales de la década de 1990. En aquellos primeros tiempos, los piratas informáticos solían ponerse en contacto con las personas a través del correo electrónico, haciéndose pasar por empresas de renombre y solicitando información confidencial como credenciales de inicio de sesión o datos de tarjetas de crédito. Mientras que estos ataques causaban estragos en las víctimas, los sofisticados autores de phishing de hoy en día tienen como objetivo algo mucho mayor: los vastos depósitos de datos confidenciales de los clientes que poseen las empresas.

La brecha de 2022 en Twilio es el ejemplo por excelencia. Los ciberdelincuentes enviaron mensajes de texto a los empleados de Twilio, haciéndose pasar por el departamento de TI de la empresa y solicitando cambios de contraseña. Dirigieron a los empleados a una versión falsificada de la página de inicio de sesión de la empresa, donde recopilaron sus credenciales y finalmente accedieron a los datos de 125 clientes de Twilio.

El aumento de la fatiga del MFA ataca

Una forma de phishing cada vez más común es el ataque de fatiga MFA (también conocido como bombardeo MFA). En esta estratagema, los actores de la amenaza adquieren ilícitamente las credenciales de una víctima (por ejemplo, mediante la compra en la darkweb). Estas credenciales se utilizan entonces para instigar numerosas solicitudes de MFA. Ante la avalancha de notificaciones de MFA, la víctima puede simplemente autorizar la solicitud, posiblemente suponiendo que ellos mismos la activaron accidentalmente.

Sin embargo, dado que muchas personas desconfían inmediatamente cuando se ven inundadas de solicitudes MFA no solicitadas, pueden negarse a autenticarse. Conscientes de ello, los atacantes crean escenarios en los que la solicitud de AMF parece auténtica. Por ejemplo, pueden llamar o enviar un correo electrónico a la víctima, haciéndose pasar por una entidad de confianza, como el departamento de TI de una empresa, y pidiéndole que autentique su identidad como parte de un procedimiento de seguridad rutinario. Aprovechando la confianza de la víctima, el actor de la amenaza asegura la autenticación y obtiene acceso a sistemas restringidos.

Fatiga AMF en la práctica

Los hackers que estaban detrás del ataque a Cisco de 2022 habían conseguido las credenciales de la cuenta de Google de la víctima, que incluían credenciales sincronizadas para sus cuentas relacionadas con el trabajo. Los atacantes provocaron solicitudes de MFA y posteriormente llamaron por teléfono a la víctima, haciéndose pasar por una organización de confianza. Por teléfono, convencieron al empleado para que aceptara una solicitud de MFA, obteniendo así acceso a los sistemas internos de Cisco, donde introdujeron cargas útiles de malware y comprometieron varios servidores.

En un incidente similar ocurrido en 2022, Uber fue víctima de un ataque de fatiga de MFA orquestado por el conocido grupo de piratas informáticos Lapsus$. Los hackers obtuvieron las credenciales VPN de un contratista externo que trabajaba para Uber (probablemente compradas en la darkweb) y las utilizaron para activar solicitudes MFA. Cuando el contratista hizo caso omiso de las solicitudes, los hackers se pusieron en contacto con él a través de WhatsApp, haciéndose pasar por el servicio de asistencia de Uber e indicándole que se autenticara. En poco tiempo, los hackers consiguieron acceder a varios sistemas internos y, finalmente, obtuvieron mayores permisos para herramientas como G-Suite y Slack.

Combatir el phishing mediante la tecnología y la formación

El phishing plantea un reto polifacético que requiere esfuerzos concertados de los departamentos de TI y RRHH de su empresa, ya que se produce en la encrucijada de la tecnología y la conducta humana. Los CIO/CISO y los responsables de RR.HH. deben adoptar un enfoque global en el que se alineen las personas, los procesos y la tecnología. Los elementos fundamentales de este enfoque abarcan:

Formación sobre conciencia de seguridad:
Los colaboradores de una empresa necesitan formación continua sobre las últimas tácticas de phishing y los procedimientos óptimos para reconocer y responder a actividades sospechosas. En el caso de los ataques de Uber y Cisco, por ejemplo, las empresas podrían haber evitado las brechas enseñando explícitamente a sus empleados y socios externos cómo discernir un intento de phishing relacionado con la MFA.

Prácticas de MFA resistentes al phishing:
Las técnicas de MFA de última generación, como la autenticación FIDO2/WebAuthn, los códigos QR y los tokens físicos, reducen la vulnerabilidad de su empresa. Exigir a los usuarios que completen una acción para autenticar su intención de iniciar sesión también reduce el riesgo de ataques de fatiga de MFA, en los que un usuario podría aceptar una solicitud simplemente para detener un aluvión de notificaciones push iniciadas por un atacante.

Prácticas estrictas en materia de contraseñas:
Aplique políticas estrictas en materia de contraseñas que prohíban las modificaciones incrementales (de un solo carácter) de las contraseñas y exija contraseñas sólidas y distintivas.

Evaluaciones del riesgo de phishing:
Colabore con un socio especializado en ciberseguridad para evaluar periódicamente el riesgo de phishing de su empresa y ejecutar ataques de phishing simulados. Esto le permitirá detectar los puntos débiles y rectificar las vulnerabilidades.

Marco de confianza cero:
Implemente un enfoque de confianza cero que exija la verificación en todo momento, minimizando así la superficie de ataque.

No permita que los atacantes de phishing tomen la delantera. Asegúrese de que sus empleados están al día y proteja su empresa.

Proteger a su empresa del phishing depende de su capacidad para aumentar la concienciación, promover comportamientos favorables e implantar tecnologías seguras. Las empresas tendrán que enfrentarse invariablemente al riesgo que supone esa pequeña facción de empleados que desobedecen las directrices de seguridad. Esto implica que proteger a su empresa del phishing es una cuestión de frenar los riesgos más que de erradicarlos por completo. No obstante, con una sólida evaluación del riesgo de phishing y las medidas preventivas adecuadas, su empresa se encaminará hacia un futuro mucho más seguro.