Blog NLT Secure
¿Pensabas que Phishing era algo novedoso?
Pues no, hacen más de dos décadas que el Phishing funciona como técnica para el acceso inicial en diversos tipos de ataques a empresas, organizaciones y gobiernos. De acuerdo con archivos de la edición de 8 de septiembre de The Mercury News, diario publicado en San José, California, y la publicación "Early Phishing"(arXiv:1106.4692) de la Cornell University de 23 de junio de 2011, el término "phishing" fue acuñado por el conocido spammer y hacker Khan C. Smith a mediados de los 90s. La primera mención registrada del término se encuentra en la herramienta de hacking AOHell (según su creador), que incluía una función para intentar robar las contraseñas o datos financieros de los usuarios de America Online (AOL).
El último año ha sido un año récord para los ataques cibernéticos. El número, la intensidad y la variedad de estos ataques sigue aumentando a medida que los ciberdelincuentes continúan ideando nuevas estrategias para lanzar ataques sofisticados. Los ataques cibernéticos más comunes que causaron estragos en 2021 incluyeron phishing, ransomware y denegación de servicio distribuido (DDoS).
Ataques de ingeniería social, como el phishing, son los tipos de ataques cibernéticos más frecuentes y peligrosos, ya que actúan confundiendo y manipulando el comportamiento humano permitiendo ataques, aunque no existiesen brechas de seguridad técnicas. Según el Informe de investigaciones de violación de datos de 2021 de Verizon, el 85 % de las violaciones en ese año involucraron al elemento humano.
Observemos algunas estadísticas sobre phishing para comprender el alcance y la gravedad de estos ataques:
- + Ataques de phishing son responsables de más del 80% de los incidentes de seguridad reportados.
- + Según CISCO en el informe Tendencias de Amenazas a la Seguridad Cibernética de 2021, alrededor del 90 % de las filtraciones de datos se produjeron debido al phishing.
- + La investigación de Tessian de 2021 reveló que empleados reciben un promedio de 14 correos electrónicos maliciosos cada año.
- + Según la investigación de 2021 de ESET, los ataques basados en correo electrónico aumentaron un 7,3 % entre mayo y agosto de 2021.
- + Se estima que cada día se envían alrededor de 156 millones de correos electrónicos de phishing, lo que genera más de 80 000 clics.
Como vemos, el phishing sigue siendo una técnica rentable, perfeccionada constantemente desde más de 25 años por el mercado cibercriminal.
En algunos casos basta con abrir la carpeta del archivo infectado que fue descargado desde un correo de Phishing para permitir que comandos maliciosos de los más variados tipos puedan ser ejecutados. Como el conocido Follina, o CVE-2022-30190, que mantuvo a muchos analistas de ciberseguridad ocupados a fines de mayo de este año.
En la siguiente imagen podemos ver la POC (Prueba de Concepto) de un ataque utilizando el Follina, publicada por el investigador en ciberseguridad John Hammond el 31 de mayo. Donde demostró como la vulnerabilidad podía ser explotada en un ataque "0-click".
Es importante resaltar, que apenas 4 días después de la publicación de la vulnerabilidad, Avast publicó un reporte con evidencias de uno (pero probablemente no el único) "brote" de ataques sofisticados utilizando la vulnerabilidad.
La conclusión aquí, es que el cibercrimen evoluciona y se adapta a velocidades impresionantes. Con el Phishing no es distinto, ha evolucionado mucho en las últimas décadas, y al día de hoy tenemos una variedad enorme de tipos de Phishing utilizados como parte de otra gran variedad de ataques.
Esta característica de transformación rápida sumada a la complejidad del ambiente cibernético transforma la ciberdefensa en un desafío difícil para todos. Razón por la cual el mercado presenta gran demanda de profesionales, servicios y soluciones en ciberseguridad.
En casi todas las organizaciones, es necesario un apoyo externo especializado para responder a tiempo a las nuevas amenazas cibernéticas y desarrollar las actividades de ciberdefensa.
Finalmente, la razón por la que el phishing continúa siendo efectivo sigue siendo la misma desde hace mucho tiempo: los humanos atacan a los humanos. Muchas veces no es necesario asociar esta técnica a una vulnerabilidad tecnológica para completar el ataque.
Debido a eso, es muy importante que entendamos la necesidad y ROI de la concientización sobre ciberseguridad en nuestras empresas. Octubre se acerca y se conoce como el mes de la concientización sobre seguridad cibernética, desde 2004, cuando el presidente de los Estados Unidos y el Congreso han declarado octubre como el Mes de la Concientización sobre la Seguridad Cibernética. Aprovechemos esta fecha para abordar este tema tan importante para nuestra ciberseguridad.
En NLT trabajamos con tres pilares fundamentales para defender a nuestros clientes del Phishing y otras amenazas:
- Concientización y educación
- pruebas/simulacros
un plan de mitigación y mejora continua basados en los resultados de las métricas obtenidas en las pruebas aplicadas.
Creemos que la unión de estos tres pilares nos permite capacitar nuestros clientes a identificar puntos vulnerables y posibles amenazas junto con los escenarios de mejora, permitiendo así desarrollar un plan de mejora continua con prioridades adecuadas. Buscando llevar a la compañía a un mejor estándar de Ciberseguridad que se ajuste a sus necesidades particulares.
