María Pilar Torres Bruna, Directora de Ciberseguridad, NTT DATA Perú
A lo largo de los últimos años se ha duplicado el tráfico de Internet, cuadruplicado el de aplicaciones de teletrabajo y multiplicado por ocho el de redes sociales respecto a los picos más altos anteriores a la venida de las nuevas formas de trabajar. Todo esto ha hecho que los ciberataques y estafas online se hayan visto incrementados considerablemente.
El ser humano es el eslabón más débil de la cadena y ahora estamos más hiperconectados que nunca, y ciberdelincuentes tratan de aprovecharse de ello mediante campañas de phishing cada vez más dirigidas y sofisticadas.
Servicios financieros, postales y de recursos humanos son los principales sectores que sufren este tipo de fraude. Para ello, los atacantes envían oleadas masivas de correos electrónicos que suplantan a las organizaciones, tratando de pasar por legítimos.
Este tipo de ataques está ganando en efectividad, y una vez logradas las credenciales de un usuario, se puede o bien entrar a la organización, o bien suplantar la identidad de ese usuario.
Los métodos más comunes utilizados por los estafadores se basan en:
• Servicios de entrega: falsificando la apariencia de un correo legítimo con el logo de la empresa de reparto y pidiendo a las víctimas que abrieran un archivo adjunto para ver la dirección de un almacén donde poder recoger un envío que no había podido ser entregado.
• Servicios postales: adjuntando una supuesta imagen de un recibo que mostraba una extensión jpg, esperando que los usuarios aceptaran el adjunto y lo abran, ya que en realidad se trata de un ejecutable para ganar acceso al equipo de la víctima.
• Servicios financieros: los ataques de phishing bancarios utilizaron a menudo mensajes de correo electrónico en los que ofrecían diversos beneficios y bonificaciones a los clientes de las instituciones financieras con tan sólo hacer clic en un enlace para inscribirse en la promoción.
• Servicios de recursos humanos: enviando correos tanto a usuarios particulares como a organizaciones con un asunto relacionado con baja por razones médicas o despidos inminentes, siendo todos ellos correos fraudulentos con malware adjunto.
Técnicas vigentes
Además de los métodos anteriores, también se observa que la tendencia de otras técnicas más comunes sigue vigente.
Aprovechando que la gente pasa más tiempo en casa, las estafas telefónicas (vishing) o por SMS (SMiShing) se han visto incrementadas también a lo largo de este año.
La mejora en la técnica de estos ataques, la apariencia de los mensajes, sumado a la baja concienciación de los usuarios, hace que tengan una alta efectividad.
Esto crea un escenario ideal para los ciberdelincuentes que buscan, desde robar información relacionada con cuentas de redes sociales, cuentas bancarias, etc., hasta ganar acceso a un ordenador u obtener unas credenciales corporativas y poder comprometer una red empresarial utilizando únicamente un mensaje de texto como entrada.
Todos estos métodos y ejemplos evidencian por un lado la importancia de concienciar a la población de la existencia de este tipo de ataques y como protegerse ante ellos; por otro lado, evidencian la importancia de herramientas antifraude que, afortunadamente, también están ganando en sofisticación y permiten a sectores tan críticos como el financiero analizar la identidad de cada cliente final en tiempo real, alertando de cualquier anomalía para su pronta gestión.