Ciberseguridad
phishing

Los ataques de 'phishing' aumentan en cotas superiores al 30%

Además, su sofisticación y las campañas específicas crecen, según un informe de Vade.

pesca phishing

Los correos electrónicos de phishing crecieron un 31% en el tercer trimestre del ejercicio, según datos de Vade. Asimismo, la cantidad de estos mails que contenían malware también aumentó en lo que va de año, superando a 2021, con 55,8 millones. Solo en este último tramo, estos se han incrementado un 217% en comparación con el mismo período del año anterior, alcanzando su cénit en julio, con 19,2 millones.

Según el informe, el correo es el vector de ataque preferido para el phishing y el malware, ya que ofrece un canal directo a los usuarios, el eslabón más débil de la cadena de la ciberseguridad de una organización. “A medida en que los incidentes se vuelven más sofisticados también son capaces de evadir la seguridad básica de los proveedores, en la que aún confían casi ocho de cada 10 empresas”, reza el estudio.

Aunque la actividad de los ciberdelincuentes fluctúa, hacerse pasar por marcas confiables, conocidas y establecidas sigue siendo la estrategia más popular. En este tramo, Facebook fue la compañía más suplantada, por segundo trimestre consecutivo, seguida de Google, MTB, PayPal y Microsoft. Así, el sector financiero sigue siendo el más suplantado (más del 32% del total detectado), seguido de las organizaciones de nube (25%), redes sociales (22%) e Internet/telco (13%).

 

Los ataques son cada vez más específicos

Las técnicas de los ‘malos’ también continúan evolucionando, a pesar de que las campañas de phishing lanzadas fueron, en su mayoría, a gran escala. Sin embargo, las más recientes sugieren que se está pasando a objetivos más específicos. Por ejemplo, la compañía observó en julio un correo que se hizo pasar por Instagram para explotar la verificación de la plataforma. Este se dirigía a usuarios con nombres reales, lo que demuestra que los ciberdelincuentes dedicaron tiempo a investigar sus objetivos antes de la campaña.

Otro estilo preocupante usa servicios legítimos para transmitir y ocultar los mensajes. En septiembre se trató de explotar una campaña medienta Pole Emploi, una página web francesa de servicios de empleo, usándolo para distribuir enlaces a compañías que buscaban candidatos. En el ataque, los ‘malos’ solicitan ofertas de trabajo y cargan un currículum en PDF que contiene enlaces maliciosos.

Según Vade, esta es una nueva estrategia que probablemente se volverá más común en el futuro, ya que les ahorra el tiempo y el esfuerzo de diseñar un correo que se haga pasar por una organización.También aumenta la probabilidad de un ataque exitoso al reducir las sospechas de las potenciales víctimas.

 

Importancia de capacitar a los empleados

A principio de este mes, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido advirtió a las empresas que no se dejen seducir por el atractivo de emitir pruebas de phishing a sus empleados, afirmando que la mayoría de las implementaciones rara vez ofrecen una “medida objetiva” de las defensas de una organización y puede “terminar perdiendo el tiempo”.  De hecho, en su blog explica que responder a correos electrónicos y hacer clic en enlaces es una parte integral del trabajo y que, por lo tanto, intentar detener este hábito es extremadamente difícil. “Pedir a los usuarios que se detengan a mirar y considerar cada mensaje no dejaría horas suficientes diarias para realizar el trabajo”.

Duane Nicol, gerente senior de capacitación de productos de Mimecast, está de acuerdo con este enfoque y cree que la concienciación holística es mucho más adecuada para mantener a los empleados comprometidos, ya que aporta más contexto sobre por qué los empleados tienen que hacer algo y cómo contribuye a mejora de la resiliencia de su organización.

“Con una estrategia de varias capas, es más probable que los usuarios participen en la capacitación, lo que generaría una cultura en la que se convierta en norma informar de correos sospechosos dentro del lugar de trabajo y estar más atentos fuera de él, por ejemplo, en las redes sociales y en la vida diaria”.



TE PUEDE INTERESAR...

LEGISLACIÓN

Luz verde a NIS2

Revistas Digitales

DealerWorld Digital

IDG Research

Registro:

Eventos:

 

Partnerzones