Los ataques de phishing, que son ataques de ingeniería social que tienen como objetivo robar datos de los usuarios, están viviendo una revolución. El reciente y rápido desarrollo de la IA ha hecho más que abrir nuevos caminos para empresas legítimas: ChatGPT ahora se utiliza para realizar estafas de phishing.
Descubra cómo LayerX puede ayudar a su equipo de seguridad
¿Qué son los ataques de phishing?
El phishing existe desde casi tanto tiempo como Internet. Los primeros ataques aprovecharon una seguridad de correo electrónico rudimentaria que permitía a los atacantes extraer direcciones de correo electrónico y enviar mensajes maliciosos a través de las ondas. La figura decorativa de los primeros ataques de phishing fue la estafa del Príncipe de Nigeria. En esto, un miembro de la aparente familia real nigeriana se acercaría a las víctimas potenciales ofreciéndoles una enorme cantidad de dinero. Aprovechando sus inseguridades financieras, a las personas vulnerables se les prometería la suma una vez que hayan enviado una “tarifa de procesamiento”.
Los ataques modernos han tomado este modelo y han crecido y florecido mucho más allá del engaño cargado de errores tipográficos. Gracias al gran volumen de información que manejan las cuentas en línea hoy en día, los atacantes ahora intentan recopilar cualquier cosa, desde detalles de cuentas bancarias hasta nombres de usuarios y contraseñas. Bajo la apariencia de una fuente legítima y confiable, un atacante intenta extraer información con una solicitud atractiva o alarmante.
En una prueba de concepto reciente, a pesar de la advertencia de la herramienta sobre una posible violación de su política de contenido, los investigadores solicitaron a la herramienta que se hiciera pasar por un correo electrónico de una empresa de alojamiento. Esto creó un buen primer borrador. Repitiendo este primer intento, luego pidieron una variación que convenza al objetivo de descargar un documento troyano de Excel.
Este fue el resultado:
Los investigadores fueron más allá: con el programa Codex de Open AI, utilizado para convertir texto en código, pudieron crear un documento de Excel que automáticamente comenzaba a descargar código malicioso al abrirlo. A pesar de las limitaciones impuestas a estos sistemas de inteligencia artificial, el Codex no logró identificar la intención maliciosa en la solicitud. Al igual que el correo electrónico de phishing de ChatGPT, el código inicial tenía fallas, pero después de algunas iteraciones, ofrecía un script malicioso perfectamente funcional.
A medida que evolucionan los ataques de phishing, es vital que su organización vaya un paso por delante.
Cómo funciona el phishing
El núcleo de cualquier ataque de phishing es un mensaje. Esto podría ser por correo electrónico, redes sociales o por teléfono. La conexión constante de teléfonos inteligentes y dispositivos modernos constituye la mayor superficie de ataque en la historia cibernética.
Un atacante de phishing a menudo utiliza información pública, ya sea información publicada en cuentas de redes sociales o filtraciones anteriores sufridas por importantes recolectores de datos. Esta información general les ayuda a crear un perfil de víctima, incluido el nombre, los intereses personales y la experiencia laboral del destinatario. Todos estos datos se introducen en un ataque para crear un mensaje fiable y convincente. Los destinatarios de los ataques de phishing modernos provienen de millones de direcciones de correo electrónico involucradas en violaciones de datos cada año. El reciente estudio sobre el costo de las violaciones de datos de IBM y Ponemon encontró que las violaciones de datos ahora cuestan un promedio de casi $4 millones, con hasta el 90% de las empresas habiendo sufrido un incumplimiento a lo largo del último año. La información de contacto filtrada se intercambia a través de mercados clandestinos, empaquetada en bases de datos utilizables para campañas de phishing generalizadas.
El correo electrónico que aparece en la bandeja de entrada de una víctima a menudo intentará disfrazarse de legítimo: estas campañas pueden respaldarse con archivos adjuntos maliciosos y sitios web de apoyo, diseñados para recopilar aún más datos personales de sus víctimas.
Tipos de ataques de phishing
Hay varios canales que utilizan los atacantes para contactar a sus víctimas. Estos ataques de phishing representan una amplia variedad de compromisos, y cada tipo depende de ciertas fortalezas de su medio.
correo electrónico de phishing
Una de las formas de phishing más antiguas y exitosas: los atacantes a menudo se registran con nombres de dominio que son muy parecidos a la versión legítima de los mismos. Estos pueden variar desde dominios completamente amateurs (si los atacantes eligen atacar deliberadamente a aquellos que leen correos electrónicos) hasta dominios de correo electrónico falsificados que parecen casi idénticos a sus versiones legítimas. Reemplazar o agregar caracteres especiales es uno de los enfoques más comunes (cambiar mybank a my-bank, por ejemplo). Con una parodia sólida, luego comienzan a enviar spam con ataques de phishing a miles de víctimas potenciales.
Smishing
Si bien los ataques de phishing tradicionales se basan en el correo electrónico, los teléfonos inteligentes han abierto un enfoque completamente nuevo a los ataques durante la última década. Los mensajes SMS fraudulentos aprovechan al máximo los protocolos de seguridad más flexibles que emplean los dispositivos móviles (y sus usuarios). Estos mensajes a menudo enlazan a un sitio infectado con malware controlado por el atacante, con URL acortadas y la falta de movimiento del mouse, lo que permite a los atacantes tener ventaja.
Spear Phishing
En respuesta a que el enfoque de rociar y rezar se volvía cada vez menos efectivo, los atacantes recurrieron a una forma de ataque más potente: el phishing. Esto condensa los esfuerzos de los atacantes en un número menor de víctimas, apuntando a unas pocas específicas. Estos ataques se benefician de toda la atención del atacante, además de utilizar toda la información contenida en los perfiles públicos de Facebook y LinkedIn.
Vishing
Similar a smishing, los atacantes también están ansiosos por utilizar otros enfoques: el phishing de voz, o vishing, utiliza la relación más directa entre la persona que llama y la víctima. Esto hace que ciertos aspectos de los ataques de phishing, como la urgencia inducida y las amenazas, sean particularmente potentes. Aquí, los atacantes utilizan el mismo enfoque engañoso, a menudo pretendiendo ser un equipo de investigación de estafas del banco de la víctima. A partir de ahí, los delincuentes suelen solicitar la información de la tarjeta de crédito de la víctima para verificar su identidad. Sin embargo, el vishing también se puede automatizar: estas llamadas automáticas a menudo solicitan al usuario final que escriba datos personales en el teclado.
Phishing de pescador
Si bien muchos atacantes persiguen activamente a sus víctimas potenciales, el phishing de pescadores adopta un enfoque diferente: espera a que se acerquen. Al esconderse detrás de la fachada de una cuenta falsa de redes sociales de una organización genuinamente conocida, el atacante también puede incluir la foto de perfil de la cuenta genuina. Además de un identificador convincentemente falso, los pescadores phishers se aprovechan de la creciente tendencia de que las quejas de los consumidores se tramiten a través de los canales de las redes sociales. Si bien los clientes los utilizan para pedir ayuda, los atacantes son libres de manipular la conversación para lograr sus propios objetivos de recopilación de datos.
¿Cómo identificar signos de phishing?
Si bien la ingeniería social es un componente importante de los correos electrónicos maliciosos, hay buenas noticias: los atacantes a menudo dependen de algunos enfoques clave en sus mensajes. Estos son lo suficientemente recurrentes como para que, con solo estar atento, sea posible detectar ataques de phishing de bajo esfuerzo antes de que se haga clic en un enlace o documento malicioso.
Consecuencias negativas y urgentes
Cualquier mensaje que amenace o ponga especial énfasis en consecuencias negativas debe considerarse con extrema cautela. Esto se debe a que la implicación de amenaza desencadena la respuesta de cortisol del cerebro. Mientras el corazón late más rápido y la sangre fluye a los músculos en respuesta directa a esta hormona del estrés, el atacante secuestra esta respuesta biológica. Es una de las razones por las que los correos electrónicos falsos de restablecimiento de contraseña son una herramienta tan potente en el arsenal del atacante: al esconderse bajo la amenaza de comprometer la cuenta, los atacantes pueden eludir los procesos de pensamiento crítico que normalmente lo mantienen protegido. Cuando se combina con un tono urgente, las víctimas son muy propensas a cumplir con todas las demandas del atacante.
Tono inusual
Otra característica de los mensajes de phishing que debería provocar una alarma inmediata en el destinatario es un tono inadecuado o inesperado. La ventaja que tienen las víctimas es simple: sabes cuántos de tus colegas, amigos y familiares se comunican. Esta conciencia le sitúa en una base más sólida para detectar casos de comunicación anormal. Si un amigo cercano envía un mensaje que incluye lenguaje formal, o un colega comienza a usar términos demasiado amigables, puede ser el primer indicador que le permita protegerse.
Solicitudes inesperadas
De manera similar al tono del correo electrónico, las solicitudes integradas en un correo electrónico de phishing pueden proporcionar otra idea de la verdadera intención del remitente. Si de repente se le pide que realice una acción que no está dentro de sus tareas habituales, vale la pena tomarse un segundo más para volver a verificar. Esto puede aprovechar la mayor comprensión contextual disponible para las víctimas: por ejemplo, si su organización tiene un equipo de TI central que administra la instalación de software, debe tratar cualquier correo electrónico que solicite la descarga de software con extrema precaución.
Cómo proteger su empresa de ataques de phishing
Si bien es posible que las personas se vuelvan increíblemente cautelosas con el phishing, el hecho es que el phishing en toda la empresa es simplemente un juego de estadísticas: alguien, en algún lugar, tendrá prisa y abrirá la puerta a los atacantes. Protección para toda la empresa requiere una combinación de capacitación atractiva y centrada en los hábitos, y soluciones que ayuden mejor a los empleados a permanecer protegidos.
Capacitación para la concientización de los empleados
La fundación de sólida protección contra phishing Los planes comienzan con la víctima: al proporcionar a los empleados información actualizada y relevante sobre la naturaleza de los ataques actuales, los ataques de ingeniería social se vuelven mucho más difíciles de cometer con éxito. Esto hace que la formación de los empleados sea una de las formas más importantes de defensa empresarial. Los empleados deben comprender los objetivos y las técnicas de los ataques de phishing de última generación y saber a qué miembros del equipo informar incidentes sospechosos. De esta manera, la organización no solo apoya a los empleados, sino que adopta una postura proactiva de ciberseguridad que se adapta y evoluciona con los atacantes.
Además de esto, se debe alentar a los empleados a estar atentos a los indicadores positivos de seguridad: las insignias de confianza de soluciones antivirus acreditadas ofrecen un indicador rápido y accesible de la seguridad del sitio y las aplicaciones.
Acceso limitado
Si bien los usuarios mejoran su propia protección contra el phishing, las políticas de toda la empresa pueden respaldar estos esfuerzos. Las cuentas de usuarios privilegiados son uno de los principales objetivos de los perpetradores, gracias al mayor radio de explosión que permite un ataque exitoso. El principio de privilegio mínimo permite que los empleados sigan accediendo a los datos que necesitan, al tiempo que minimiza el riesgo de convertirse en un objetivo.
Pruebe la resiliencia antes de que lleguen los ataques
Con capacitación e infraestructura implementadas, la resistencia de su organización al phishing ya está comenzando a tomar forma. Sin embargo, el costo de las filtraciones de datos hoy en día es demasiado alto para correr riesgos, razón por la cual tanto los equipos de seguridad como los usuarios finales se benefician enormemente de las simulaciones semiregulares de ataques de phishing. Desde que los usuarios se familiaricen con las técnicas de ataque modernas hasta proporcionar una visión macro de qué tan bien defendida está realmente una empresa, estas pruebas son una carta maestra para la protección proactiva contra el phishing.
Prevención de phishing con la plataforma de seguridad del navegador LayerX
La última pieza del rompecabezas antiphishing es una capa de mecanismos preventivos que bloquean ataques completamente nuevos. Las soluciones antiphishing tradicionales funcionan bloqueando las URL conocidas que los atacantes ya utilizan. Si bien es eficaz contra actores de amenazas más antiguos y establecidos, este enfoque es completamente reactivo: solo puede prevenir ataques si la URL de su elección ha sido marcada y reportada. Los atacantes, por otro lado, pueden saltar constantemente de una URL a otra, lo que hace que la gran mayoría de la arquitectura de phishing quede fuera del alcance de esta protección.
LayerX ofrece detección de amenazas de alta precisión sin depender de conocimientos previos. En lugar de una simple lista de URL incluidas en la lista negra, LayerX realiza una identificación de sitios sospechosos basándose en el análisis de la actividad proyectada del sitio web. Nuestro motor de ML independiente realiza este análisis en tiempo real a través de un extensión de navegador de fácil instalación, con latencia cero. De esta manera, se pueden descubrir intenciones maliciosas antes de que el dispositivo del usuario final se conecte al servidor web controlado por el atacante. Con un enfoque proactivo frente al phishing, su organización puede adelantarse a cualquier atacante, ya sea humano o de IA.