Los riesgos del error humano: ¿Hasta qué punto está protegida tu empresa frente a un ataque de phishing de última generación?

Sin embargo, una serie de recientes ataques de phishing contra empresas de gran renombre, como Cisco, Twilio y Uber, ha puesto de manifiesto una realidad alarmante:

• Los autores de ataques de phishing están utilizando métodos más sofisticados que nunca, como mensajes y correos electrónicos generados por IA, para que todo parezca aún más realista.
• Como vector de malware y ransomware, el phishing supone un riesgo extremo para cualquier empresa.
• Aunque se apliquen las normas de seguridad más estrictas, ninguna empresa está totalmente a salvo del riesgo de error humano, en el que se basa el phishing.
• Los autores de los ataques de phishing actuales se aprovechan de las debilidades humanas para eludir incluso las medidas de seguridad más avanzadas, como la autenticación multifactorial (MFA).
• Los malos hábitos y la falta de concienciación por parte de los empleados crean las condiciones ideales para un ataque de phishing de mayor gravedad.

¿Está haciendo tu empresa todo lo necesario para proteger sus datos confidenciales y evitar convertirse en la próxima víctima de un ataque de phishing? ¿Dispones de la formación y las tecnologías adecuadas? ¿Realizas evaluaciones de riesgo de phishing de forma activa para identificar posibles amenazas? Y, aunque así sea, ¿estás a salvo? En este artículo, analizamos los peligros del phishing y cómo puedes minimizar el riesgo de error humano para mantener tus sistemas internos más seguros.
 

El listón sube: el phishing de última generación
Hemos recorrido un largo camino desde que la práctica del phishing saltó a la fama a finales de la década de 1990. Por aquel entonces, los hackers solían ponerse en contacto con las personas por correo electrónico, haciéndose pasar por una empresa de confianza y solicitando información confidencial, como credenciales de acceso o datos de tarjetas de crédito. Si bien aquellos ataques tuvieron consecuencias devastadoras para las víctimas afectadas, los sofisticados atacantes de phishing de hoy en día tienen la mirada puesta en algo mucho más grande: los enormes conjuntos de datos confidenciales de clientes que poseen las empresas.

La filtración de datos de Twilio de 2022 es un ejemplo clásico. Los ciberdelincuentes enviaron mensajes de texto a los empleados de Twilio, haciéndose pasar por el departamento de TI de la empresa y solicitando cambios de contraseña. Dirigieron a los empleados a una versión falsa de la página de inicio de sesión de la empresa, donde recopilaron las credenciales de los empleados y, finalmente, obtuvieron acceso a los datos de 125 clientes de Twilio.
 

El auge de los ataques de «fatiga de MFA »
Una modalidad de phishing cada vez más habitual es el ataque de «fatiga de MFA» (también conocido como «bombardeo de MFA»). En esta táctica, los autores de las amenazas obtienen de forma ilícita las credenciales de la víctima (por ejemplo, comprándolas en la dark web). Utilizan dichas credenciales para generar múltiples solicitudes de MFA. Al sentirse confundida o abrumada por una avalancha de notificaciones de MFA, la víctima puede acabar simplemente aprobando la solicitud, quizá pensando que la ha activado ella misma sin darse cuenta.

Sin embargo, dado que muchas personas sospechan de inmediato cuando reciben una serie de solicitudes de autenticación multifactorial (MFA) no solicitadas, pueden negarse a autenticarse. Sabiendo esto, los atacantes recurren a la ingeniería social para crear un escenario en el que la solicitud de MFA parezca legítima. Por ejemplo, llaman o envían un correo electrónico a la víctima, haciéndose pasar por una entidad de confianza, como el departamento de TI de una empresa, y le informan de que debe autenticar su identidad como parte de un procedimiento de seguridad rutinario. Aprovechando la confianza de la víctima, el autor de la amenaza consigue la autenticación y obtiene acceso a sistemas restringidos.
 

La «fatiga de la autenticación multifactorial» en acción
Los delincuentes responsables del ataque a Cisco en 2022 habían obtenido las credenciales de la cuenta de Google de la víctima, que contenían credenciales sincronizadas con sus cuentas laborales. Los atacantes activaron solicitudes de autenticación multifactorial y, a continuación, llamaron por teléfono a la víctima haciéndose pasar por una organización de confianza. Por teléfono, convencieron al empleado para que aceptara una solicitud de autenticación multifactorial, con lo que consiguieron acceder a los sistemas internos de Cisco, donde introdujeron cargas útiles de malware y comprometieron varios servidores.

Durante un incidente similar en 2022, Uber fue víctima de un ataque de «fatiga de la autenticación multifactorial» (MFA) perpetrado por el conocido grupo de hackers Lapsus$. Los hackers obtuvieron las credenciales de la VPN de un colaborador externo que trabajaba para Uber (probablemente compradas en la dark web) y las utilizaron para generar solicitudes de autenticación multifactorial. Cuando el colaborador ignoró inicialmente las solicitudes, los hackers se pusieron en contacto con él a través de WhatsApp, haciéndose pasar por el servicio de asistencia de Uber y ordenándole que se autenticara. En un abrir y cerrar de ojos, los hackers tuvieron acceso a múltiples sistemas internos, llegando a obtener permisos elevados para herramientas como G-Suite y Slack.
 

Cómo combatir un ataque de phishing mediante la tecnología y la formación
El phishing es un reto complejo que requiere un esfuerzo conjunto por parte de los departamentos de TI y de RR. HH. de su empresa, ya que se produce en la intersección entre la tecnología y el comportamiento humano. Los directores de TI (CIO) y de seguridad de la información (CISO), así como los responsables de RR. HH., deben adoptar un enfoque integral en el que las personas, los procesos y la tecnología estén alineados. Estos son los pilares fundamentales de este tipo de enfoque:

Formación en concienciación sobre seguridad
Los empleados necesitan formación continua sobre las últimas técnicas de phishing y las mejores prácticas para reconocer y responder ante actividades sospechosas. En el caso de los ataques de «fatiga de la autenticación multifactorial» (MFA) contra Uber y Cisco, por ejemplo, las empresas podrían haber evitado las filtraciones enseñando a sus empleados y socios externos, de forma específica, cómo detectar un intento de phishing relacionado con la autenticación multifactorial.

Prácticas de autenticación multifactorial (MFA) resistentes a los ataques de phishing
Los métodos de autenticación multifactorial de última generación, como la autenticación FIDO2/WebAuthn, los códigos QR y los tokens físicos, ayudan a reducir la superficie de ataque de tu empresa. Exigir al usuario que realice una acción para confirmar su intención de iniciar sesión también reduce el riesgo de sufrir ataques por «fatiga de la autenticación multifactorial», en los que el usuario puede aceptar una solicitud simplemente para detener una avalancha de notificaciones push provocadas por un atacante.

Prácticas de seguridad para contraseñas
Aplica políticas estrictas en materia de contraseñas que prohíban los cambios incrementales (de un solo carácter) y exijan contraseñas seguras y únicas.

Evaluaciones de riesgos de phishing
Colabora con un socio especializado en ciberseguridad para evaluar periódicamente el riesgo de phishing de tu empresa y llevar a cabo simulacros de ataques de phishing. Esto te permitirá identificar los puntos débiles y corregir las vulnerabilidades.

Marco de «cero confianza»
Implementa un enfoque de «cero confianza» que exija la verificación en cada paso, minimizando así la superficie de ataque.
No dejes que los atacantes de phishing tomen la delantera. Asegúrate de que tu plantilla esté al día y salva tu empresa.
 

La protección de su empresa frente a un ataque de phishing depende de
La protección de su empresa frente a un ataque de phishing depende de su capacidad para sensibilizar a los empleados, fomentar los comportamientos adecuados e implementar tecnologías seguras.

Las empresas siempre tendrán que hacer frente al riesgo que supone esa pequeña minoría de empleados que incumple las políticas de seguridad. Esto significa que proteger a tu empresa contra el phishing es una cuestión de minimizar los riesgos, más que de eliminarlos por completo. No obstante, con una evaluación sólida del riesgo de phishing y unas medidas de prevención adecuadas, pondrás a tu organización en el camino hacia un futuro mucho más seguro. Descubre cómo Getronics Security Services puede ayudarte a proteger tu negocio.