«En algún momento, cada empleado cae en un correo electrónico de phishing»

La gente comete errores. En el contexto corporativo, hacer clic en un correo electrónico de phishing es casi parte de la vida cotidiana. Con graves consecuencias: Según un estudio reciente de A1 Telekom Austria, el 91 por ciento de todos los ataques cibernéticos comienzan con un correo electrónico de phishing. En esta entrevista, Karsten Tellmann, Gerente de Soluciones Personalizadas en G DATA CyberDefense, explica cómo una simulación de phishing hace que el estado de la seguridad de TI sea medible y aumenta la conciencia de seguridad de los empleados.

¿Cómo ha cambiado la situación de amenaza para las empresas en los últimos meses?

El número de intentos de ataques contra empresas ha aumentado considerablemente en el último año. Ya al comienzo de la pandemia, los delincuentes se aprovecharon de la inseguridad de las personas y enviaron correos electrónicos de phishing relacionados con Corona. Se ha demostrado que el phishing se vuelve más sofisticado y que los atacantes reaccionan a los eventos actuales en cortos períodos de tiempo. Por ejemplo, los delincuentes actualmente engañan a los usuarios para que crean que tienen acceso rápido a una vacuna contra el coronavirus, pero los archivos con malware se adjuntan al correo electrónico enviado. O un enlace contenido en el correo electrónico conduce a un sitio web preparado con el objetivo de acceder a los datos de inicio de sesión y venderlos. Recientemente recibí varios correos electrónicos que querían animarme en una aplicación bancaria falsa y me atrajeron a un sitio web falso.

Al mismo tiempo, la tendencia de que muchos empleados todavía trabajan desde casa también juega en las manos de los atacantes. Debido a que muchas empresas no podían proporcionar a sus empleados en la oficina en casa bajo la presión de tiempo necesaria y no una infraestructura suficientemente segura.

¿Por qué las tecnologías de protección ya no son suficientes para protegerse contra los ataques cibernéticos?

La protección moderna de endpoints es uno de los componentes básicos más importantes de la seguridad de TI. Estas soluciones detectan una gran parte de los intentos de ataque y frustran el acceso externo. Pero los hackers criminales quieren lograr el máximo beneficio con poco esfuerzo y, por lo tanto, buscan debilidades en la defensa. Por supuesto, estas son brechas como la falta de actualizaciones de software o el acceso RDP mal asegurado con una contraseña que es demasiado simple. En realidad, sin embargo, el usuario mal informado es siempre el eslabón más débil de la cadena. Un clic incorrecto en el archivo adjunto o un enlace en un correo electrónico puede ser suficiente para obtener acceso a la red. Luego pueden mirar con calma e imperceptibilidad alrededor del sistema, copiar datos e instalar más malware, con el que finalmente cifran sistemas importantes y exigen un rescate.

¿Por qué las personas son vulnerables a las campañas de phishing?

Los ciberdelincuentes tienen un objetivo claro cuando se trata de phishing. Quieren persuadir a su víctima para que tome una determinada acción. La persona objetivo debe abrir un archivo adjunto de correo electrónico o hacer clic en un enlace y luego divulgar información confidencial, como los datos de inicio de sesión. Con esta información, los atacantes pueden, por ejemplo, obtener acceso a buzones de correo electrónico o infectar la red con malware. Al hacerlo, explotan constantemente el comportamiento humano. Abordan específicamente la ayuda, la curiosidad o la codicia en su víctima o crean un sentido de urgencia al aumentar la presión y, por ejemplo, exigir que las contraseñas se cambien de inmediato. Así, los atacantes abordan la curiosidad natural con líneas de asunto y nombres de archivo como «CV» o «New Concept». O los correos imitan marcas confiables. Por ejemplo, se recrean los mensajes del soporte de Amazon, en los que se solicita que los datos bancarios se actualicen a través de un enlace, lo que conduce a una réplica del sitio web de phishing. Los datos introducidos van directamente a los defraudadores. Para hacer que los correos electrónicos de phishing sean aún más creíbles, los atacantes utilizan cada vez más «cadenas falsas». Ponen «AW:», «Fwd:» o «WG:» delante del asunto y, a veces, incluso agregan un historial de correo electrónico falso.

¿Los correos electrónicos de phishing están limitados solo a usuarios domésticos?

No, Phishing_Mails también forman parte de la vida cotidiana de las empresas. Aquí, el manejo de solicitudes de puestos o facturas anunciadas es parte del negocio diario. Los atacantes aprovechan el manejo habitual de estos correos, ya que los empleados no prestan atención más rápidamente durante el trabajo de rutina. Una y otra vez, los atacantes acumulan presión de tiempo en los correos electrónicos para obligar a las víctimas a actuar de manera rápida e irreflexiva. Así que se explotan cualidades muy humanas. Una vez que un empleado está convencido de que debe ingresar su contraseña por razones legítimas, por ejemplo, en un sitio web, también se pueden eludir las buenas medidas técnicas de seguridad, como la autenticación de dos factores.

El phishing se está volviendo cada vez más sofisticado: aunque innumerables correos electrónicos masivos continúan terminando en los buzones, el riesgo de ataques dirigidos ha aumentado. Para este propósito, los atacantes espían a su víctima en las redes sociales o en la página de inicio de la empresa y crean un correo electrónico de phishing a medida basado en esto. En esto, se refieren, por ejemplo, a un evento al que ha asistido un empleado. Tales correos electrónicos llamados spear phishing son casi indistinguibles de los mensajes reales. Si utilizan malware, como Emotet, para leer los historiales de correo electrónico existentes y enviar correos electrónicos desde dentro de la organización con un archivo adjunto infectado, se vuelve aún más difícil detectarlos. Esto requiere una solución AV que sea de última generación. Además, los ciberdelincuentes también utilizan esta vía para atacar a otras víctimas.

¿Existen características típicas para un correo electrónico de phishing?

Eso depende del tipo de ataque. En el caso de los correos no deseados masivos simples, por ejemplo, falta el saludo directo. Tal correo electrónico es a menudo el saludo «Estimado cliente». Además, el correo a menudo contiene errores ortográficos y gramaticales o es ilógico en su argumentación, por lo que en realidad es fácil de identificar como falso. Y, sin embargo, suficientes destinatarios caen en el mensaje.

La situación es diferente con el spear phishing. El correo está elaboradamente diseñado y adaptado directamente a la víctima. Esto hace que sea mucho más difícil detectar el fraude. En la mayoría de los casos, las falsificaciones están muy cerca del original y solo son reconocibles por pequeños detalles desviados. Un ejemplo típico son los correos electrónicos con solicitudes de contacto de una red social. Si sospecha aquí, no debe hacer clic en el enlace en el correo bajo ninguna circunstancia, sino visitar el sitio web directamente. Porque una solicitud de contacto legítima también se muestra allí y el usuario reduce el riesgo de ser víctima de un ataque de phishing.

¿Por qué las empresas tienen que sensibilizar a sus empleados sobre el tema de la seguridad de TI?

En nuestra vida laboral cotidiana, pero también en la vida privada, muchos procesos están totalmente automatizados y respaldados por TI. Un suministro seguro de información digital es ahora tan importante como el suministro de electricidad o agua. Pero cuando se trata de seguridad de TI, los miembros de la junta, los directores generales y los empleados aún cierran los ojos. Por ejemplo, muchos empleados usan contraseñas fáciles de recordar para las cuentas de usuario de TI, pero las contraseñas simples se pueden descifrar muy rápidamente. Si también acceden a los datos de inicio de sesión de un administrador de TI, han alcanzado rápidamente su objetivo y pueden actuar en la red de la empresa.

¿Cómo pueden las empresas apoyar a sus empleados para que no hagan clic en los correos electrónicos de phishing?

Las empresas deben tener una visión holística de la seguridad de TI. Además de las medidas técnicas de seguridad, los empleados deben formar parte de la estrategia de defensa. Aquí, un video de capacitación que informe a los empleados sobre correos electrónicos de phishing y otras amenazas cibernéticas no es suficiente. Incluso un curso de capacitación presencial de dos días se queda corto a largo plazo. Aumentar la conciencia de los empleados sobre los riesgos de seguridad de TI es un proceso a largo plazo. Desde mi punto de vista, esto solo es posible con la ayuda de una amplia capacitación en conciencia de seguridad. Cuando los empleados son conscientes de los riesgos, actúan con más cautela y son más críticos con los correos electrónicos. Al mismo tiempo, también entienden los requisitos de contraseña y otros temas relacionados con la seguridad. Por lo tanto, ningún empleado conectará una memoria USB desconocida a su computadora sin marcar.

¿Qué papel juegan las simulaciones de phishing en la capacitación en conciencia de seguridad?

Las simulaciones de phishing permiten a los empleados adquirir una experiencia efectiva con correos electrónicos peligrosos. Les permite lidiar con el phishing de manera más rutinaria y aumenta su confianza en sí mismos. Las empresas pueden utilizar una simulación para medir el estado de la seguridad de TI. Un informe muestra a la persona responsable si y cuántos empleados han abierto un correo electrónico peligroso e incluso han hecho clic en el enlace contenido. Esto deja claro cuán grande es la necesidad de acción y en qué momento existe. Posteriormente, las empresas deben llevar a cabo una capacitación en conciencia de seguridad para mejorar de manera sostenible la conciencia de los empleados sobre las amenazas cibernéticas y desarrollar conocimiento. Si luego realizas otra simulación de phishing, podrás ver cómo ha mejorado el nivel de seguridad en la empresa. Por supuesto, este es un proceso continuo.

¿Cómo se debe estructurar una simulación de phishing?

Idealmente, el ejercicio debe durar de tres a cuatro semanas. Los correos electrónicos de phishing deben cubrir diferentes niveles de dificultad. El componente de tiempo, es decir, el tiempo de despacho, también debe variar, porque la atención de los empleados no es constante. Por ejemplo, algunos empleados ya no están tan atentos como al comienzo de la jornada laboral en previsión del final del día o del fin de semana. Estoy bastante seguro de que todos los empleados reciben al menos un correo electrónico. Pero es precisamente de este error que más aprenden.

¿Qué tienen que tener en cuenta las empresas si quieren llevar a cabo una simulación de phishing?

Por supuesto, las empresas deben cumplir con el marco de la legislación laboral. Por lo tanto, deben involucrar al delegado de protección de datos o al comité de empresa en una fase temprana.

Desde mi punto de vista, sin embargo, otro punto es mucho más decisivo: se necesita un marco adecuado para una simulación de phishing. Esto incluye, por ejemplo, un proceso de notificación de correos electrónicos sospechosos. En caso de sospecha, los mensajes sospechosos no deben simplemente eliminarse, sino verificarse. Luego, los gerentes de seguridad de TI pueden iniciar inmediatamente medidas si se confirma la sospecha. Esto incluye, por ejemplo, ajustar los filtros de spam utilizados para que estos correos se bloqueen directamente. Además, también existe la necesidad de una cultura corporativa que proteja a los empleados que han caído en un correo electrónico de phishing. Solo aquellos que hablan abiertamente sobre este comportamiento y no lo sancionan crean una conciencia del riesgo existente dentro de la fuerza laboral. Un empleado que ha caído en un ataque de phishing debería poder abordar esto abiertamente.

Enlace: «En algún momento, todos los empleados caen en un correo electrónico de phishing», | G DATOS (gdata.de) Blog de GDATA     Stefan Karpenstein