La ingeniería social crece en detrimento del 'malware' automatizado
Un estudio de Proofpoint pone de relieve que más del 90% de los ataques actuales tratan de valerse del llamado eslabón más débil de la cadena de la ciberseguridad: el factor humano.
La ingeniería social es uno de los métodos de ataque más efectivos ya que se vale del que se dice es el eslabón más débil de la cadena de la ciberseguridad: el factor humano. Por ello, cada año, los ciberdelincuentes apuestan más por este tipo de técnicas en detrimento de los exploits automatizados que instalan malware en los equipos. Así lo asegura un estudio de Proofpoint, que observa como menos del 1% de los ataques hacen uso de las vulnerabilidades de los sistemas. El resto explota el factor humano; es decir, “los instintos de curiosidad y confianza que llevan a las personas bien intencionadas a hacer clic, descargar, instalar, abrir o enviar dinero y datos”.
De hecho, la compañía ha creado el término de ‘Personas Muy Atacadas’ (VAP, de sus siglas inglesas) que son las que representan más riesgos para sus organizaciones. Tienden a ser identidades fácilmente descubiertas u objetivos de oportunidad, como cuentas públicas compartidas. De los VAP identificados, el 36% de las identidades asociadas se pueden encontrar online a través de sitios web corporativos, redes sociales o distintas publicaciones. Sin embargo, los VAP no son a menudo las personas de alto perfil de las empresas, como los grandes ejecutivos. Por el contrario, solo el 7% de los correos electrónicos de directivos de ‘nivel C’ se pueden encontrar en Internet.
Por otra parte, el estudio pone de relieve que el repunte de ingeniería social está relacionado con una sofisticación cada vez mayor. Entre las tácticas, destaca la distribución de plantillas de phishing y malware diseñados para obtener credenciales para aplicaciones en la nube, alimentando más ataques.
Para los actores de phishing, la recolección genérica de email representó el 25% de todos los esquemas de phishing en 2018. En 2019, el phishing de Microsoft Office 365 ha sido el principal, pero el enfoque sigue siendo la recolección de credenciales. Por el contrario, durante el año pasado los esquemas de phishing más efectivos estuvieron dominados por ‘Brain Food’, una estafa de afiliación para mejorar la dieta y la salud mental que se hacía con números de tarjetas de crédito.
Por otro lado, las tácticas de Business Email Compromise (BEC, en inglés) que tratan de seguir construyendo una buena relación con individuos atacados y múltiples puntos de contacto, han empezado a aparecer con mayor frecuencia en ataques que involucran malware de productos básicos.
