El ciberfraude, más activo que nunca
Aamir Lakhani, Global Security Strategist en Fortinet
05/03/2021Los ataques de ingeniería social ofrecen una metodología de alto impacto y bajo coste para los ciberdelincuentes. A su manera, estos tienen objetivos similares a los de las empresas legales: quieren maximizar los beneficios y reducir los costes operativos. Y gracias a la variedad de software criminal “as-a-Service” disponible en la Dark Web, los ataques de ingeniería social son ideales para lograr sus fines.
Los ataques de ingeniería social que tienen éxito apelan a las emociones de las personas, aprovechando su respuesta de lucha o huida. Cuando nos vemos abrumados por sentimientos como el miedo o la empatía, tendemos a tomar decisiones precipitadas. Al principio de la pandemia, los ciberdelincuentes utilizaron estas emociones para lanzar exitosos ataques de phishing. Así, temas como los despidos/ERTES, suplantación de la autoridad sanitaria o las distintas fases de desescalada fueron los reyes del momento.
Los ciudadanos buscaban desesperadamente información, lo que hizo que aumentara la rentabilidad al bajar la guardia digital. A medida que los países empiecen a ofrecer más oportunidades de vacunación, estas mismas emociones harán rentables las estafas de ingeniería social. Es tal el deseo de volver a una vida “normal”, que queremos creer que la información es veraz, por lo que los ataques de ingeniería social en torno a las vacunas son sumamente rentables. Sólo cuando esta información sea más concreta y esté disponible, los actores de las amenazas verán que la viabilidad de estas estafas se reduce en términos de relación coste-beneficio.
Desde el punto de vista de la seguridad IT de las empresas, los primeros meses de 2021 tienen muchas posibilidades de imitar a los primeros de 2020. Por ejemplo, el último informe de FortiGuard Labs sobre el panorama global de las amenazas, desveló que las variantes de señuelos y estafas de phishing basadas en la web ocuparon una posición en el Top 5 de amenazas hasta junio. En resumen, durante los primeros meses de la pandemia, los ciberdelincuentes se centraron en gran medida en los ataques de ingeniería social.
El teletrabajo impulsa los ataques Spear Phising y Whale Phising
Por otro lado, las fuerzas de trabajo remotas e híbridas hacen que el spear phishing y el whale phishing, entre otras tácticas, sean especialmente atractivas para los ciberdelincuentes. Aunque el compromiso del correo electrónico empresarial es un vector de ataque estándar, el modelo de fuerza de trabajo distribuida aumenta la eficacia de este tipo de ataques.
Normalmente, estas metodologías de ataque ofrecen a los ciberdelincuentes un modelo de alta recompensa. Al atacar a objetivos de alto perfil dentro de la organización, pueden participar en múltiples tipos de ataques. En otras palabras, en lugar de atacar a 1.000 víctimas con una recompensa menor, los ciberdelincuentes prefieren atacar a personas de alta prioridad con chantaje y extorsión, sabiendo que pueden obtener mayores beneficios.
Un ataque exitoso de whale phishing o spear phishing también ofrece a los ciberdelincuentes una forma de controlar las transacciones importantes de forma pasiva. Adoptar un enfoque descendente permite a los ciberdelincuentes desviar fondos o pagos, lo que, desde la perspectiva del modelo de costes, es un vector de ataque de bajo coste y alta recompensa. Mientras continúe el teletrabajo, comprometer el correo electrónico empresarial les seguirá ofreciendo valor. Esto se debe al hecho de que la desconexión física, por naturaleza, aumenta la probabilidad de que el fraude digital tenga éxito.
Las apps de citas y las vacunas, caldo de cultivo para el cibercrimen
Con el aislamiento personal que provoca la distancia social, los ciberdelincuentes se asoman al plano más personal. Junto con las típicas estafas de ingeniería social por correo electrónico, muchos ciberdelincuentes se dirigen ahora a las cuentas de las redes sociales, especialmente a las aplicaciones de citas online. Los actores maliciosos se han beneficiado del deseo de las personas de establecer una conexión emocional en una época de desconexión física. Al realizar una campaña de correo electrónico junto con las estafas románticas de las aplicaciones de citas, los atacantes maximizan su éxito.
Los ciberdelincuentes, que buscan continuamente oportunidades para hacerse ricos rápidamente, se centran en un modelo de costes que busca el objetivo más vulnerable y con mayores beneficios. En 2021, ningún objetivo se ajusta mejor a estos requisitos que la cadena de suministro de vacunas.
La distribución masiva de vacunas requiere un conjunto complejo e interconectado de proveedores. Un ataque a cualquiera de estos elementos puede causar una interrupción considerable en la fabricación y distribución de vacunas. Los gobiernos, las empresas privadas y los ciudadanos necesitan que el proceso de distribución funcione lo mejor posible para poder recuperar sus economías. La interrupción de la actividad de un miembro vulnerable de la cadena de suministro podría ofrecer un retorno de la inversión de alto valor y bajo coste.
Los investigadores de seguridad, como el equipo de FortiGuard Labs, se centran en conocer cómo funcionan los ecosistemas de los ciberdelincuentes para poder interrumpir las actividades maliciosas. Las leyes de la física dicen que para cada acción hay una reacción igual y opuesta. En este escenario, mientras los ciberdelincuentes abordan los ataques desde un modelo de costes, los investigadores de seguridad utilizan un modelo de disrupción.
La cadena de suministro de la ciberdelincuencia, al igual que su equivalente corporativo tradicional, consiste en un conjunto interconectado de terceros “as-a-Service” de la Dark Web, incluidos los desarrolladores, productores y distribuidores de pago de software delictivo. Una sola interrupción en esta cadena de suministro criminal puede reducir los ataques al ralentizar sus operaciones.
Los objetivos de los ciberdelincuentes incluyen el rescate, la explotación y el beneficio. Teniendo esto en cuenta, los equipos de seguridad deben responder en consecuencia. Pero aunque entender las intenciones de los ciberdelincuentes es crucial, es sólo la mitad de la batalla. Además de ser conscientes de lo que ocurre a su alrededor, las empresas también deben protegerse de las estafas y el fraude con soluciones que desbaraten a los delincuentes y ganen a los actores maliciosos en su propio juego.
