Seis razones por las que una estrategia ‘antiphising’ no funciona

Los intentos de suplantación de identidad suelen ser como pescar en un barril: con el tiempo suficiente, es muy probable que un malhechor consiga atrapar a una víctima. Una vez que reconocen que las organizaciones son habitualmente vulnerables, continuarán atacándolas, por lo que el ciclo de pesca en barril continúa. "Los ciberdelincuentes están muy motivados y financiados con el único propósito de tener éxito atrayendo a una sola víctima", afirma Johanna Baum, CEO y fundadora de Strategic Security Solutions Consulting. "[Sin embargo], como organización, tienes la tarea de proteger a todas las víctimas potenciales".

Pasar por alto o juzgar mal la higiene de la seguridad informática aumenta enormemente la susceptibilidad de un ataque. No obstante, aunque sigas un protocolo impoluto, hayas ofrecido formación a los empleados, recuerdes repetidamente al personal que verifique las comunicaciones sospechosas y te mantengas al día de las últimas campañas nefastas para engañar a los incautos, tu organización es, y siempre será, vulnerable.

He aquí seis razones por las que su estrategia antiphishing no está funcionando.

Ataques más creíbles y sofisticados

Los ciberdelincuentes están desarrollando continuamente nuevas tácticas para engañar a la gente y hacer que facilite información confidencial, y como resultado, los ataques de phishing son cada vez más sofisticados, afirma Krissy Safi, directora general y líder global de prácticas para pruebas de ataque y penetración en Protiviti. "Muchas soluciones antiphishing utilizan reglas estáticas para detectar ataques que pueden ser fácilmente eludidas por atacantes que utilizan técnicas más avanzadas", afirma Safi. "Además, con la introducción de ChatGPT, proliferarán los correos electrónicos de phishing con una gramática perfecta y sin faltas de ortografía, lo que dificultará aún más la identificación de un correo electrónico enviado por un ciberdelincuente”.

Con ChatGPT y las versiones de código abierto a disposición de los ciberatacantes, las comunicaciones robadas de una empresa se convierten en una panacea para los estafadores: la IA puede aprender en tiempo real lo que funciona y lo que no, aumentando las posibilidades de que un ataque encuentre un objetivo dispuesto.

Incluso sin emplear chatbots, los atacantes son cada vez más hábiles: tomemos como ejemplo la brecha de 2022 en la empresa de comunicaciones en la nube Twilio. En ese caso, los atacantes pudieron cotejar los nombres y números de teléfono de los empleados utilizando bases de datos públicas. El ataque de ingeniería social "logró engañar a algunos empleados para que proporcionaran sus credenciales", dijo Twilio en un informe del incidente. "Los atacantes utilizaron entonces las credenciales robadas para acceder a algunos de nuestros sistemas internos, donde pudieron acceder a ciertos datos de clientes".

Jugarse todas las cartas a una baza: la tecnología

Muchas organizaciones intentan resolver el problema del phishing únicamente con tecnología. Según Eric Liebowitz, director de Seguridad de la Información para América de Thales Group, una empresa con sede en París que desarrolla dispositivos, equipos y tecnología para los sectores aeroespacial, espacial, de transporte, defensa y seguridad, estas empresas compran las herramientas más modernas para detectar correos electrónicos sospechosos y ofrecen a sus empleados la posibilidad de denunciarlos y bloquearlos. Aunque hacer eso está muy bien, al final los malos siempre van a ser más sofisticados, afirma. "Una de las cosas más importantes en las que no creo que se estén centrando suficientes organizaciones es en la formación de sus empleados", afirma Liebowitz. "Podrían tener las mejores herramientas, pero si no están formando a sus empleados, ocurrirá algo malo".

Aunque algunas organizaciones han desplegado las herramientas adecuadas y disponen de flujos de trabajo y procesos para combatir las campañas de phishing, no las han configurado de forma adecuada y proactiva, afirma Justin Haney, ejecutivo y líder de Seguridad en Norteamérica de Avanade. "Por ejemplo, las herramientas pueden marcar y detectar un correo electrónico malicioso, pero no se bloquea automáticamente", afirma. "Con las tecnologías SIEM [información de seguridad y gestión de eventos] y SOAR [orquestación, automatización y respuesta de seguridad], las organizaciones deben desplegar libros de jugadas específicos en respuesta a las campañas de phishing potenciales identificadas, en lugar de más trabajo manual por parte de los analistas”.

Estrategia holística y en profundidad

Algunas organizaciones con estrategias antiphishing fallidas no adoptan una estrategia holística y de defensa en profundidad, afirma Haney. "Es posible que se centren en tecnologías concretas -antiphishing de correo electrónico, autenticación multifactor, cifrado de datos, seguridad de puntos finales/móviles- y no tengan en cuenta otras que mitigan los riesgos a lo largo de la cadena cibernética, por ejemplo, la detección de identidades comprometidas", afirma.

El problema de no aplicar una estrategia holística de defensa en profundidad y confiar únicamente en un programa antiphishing es que basta un ataque para que todo el sistema se venga abajo, afirma Bryan Willett, CISO de Lexmark. Confiar en un enfoque de defensa basado en el correo electrónico o depender en gran medida de la formación de los usuarios es intrínsecamente defectuoso, ya que las personas son propensas a cometer errores y basta uno para que un atacante tenga éxito.

La mejor manera de defenderse contra los ataques de phishing es mediante un enfoque de defensa por capas, afirma Willett. Esto incluye disponer de un buen sistema de detección y respuesta de puntos finales (EDR) en cada estación de trabajo, un sólido programa de gestión de vulnerabilidades, habilitar la autenticación multifactor para cada usuario y cuenta de administrador, así como implementar la segmentación a través de la LAN/WAN para limitar la propagación de un sistema infectado. "Tomando estas precauciones y aplicando varias capas de defensa, una organización puede protegerse mejor contra un ataque de phishing", añade Willett. "Debemos asumir que el atacante tendrá éxito en algún momento. Por lo tanto, tenemos que defendernos con esa suposición en mente mediante el uso de un enfoque de defensa integral y por capas”.

No formar a los empleados

Aunque es fundamental formar a los empleados para que no hagan clic en los enlaces ni abran los archivos adjuntos de los correos electrónicos de remitentes desconocidos, las empresas también deben enseñarles a reconocer los correos fraudulentos, afirma Jim Russell, director de Informática del Manhattanville College de Harrison, Nueva York.

"Una de las cosas de las que hablamos en nuestra formación es de la voz auténtica, que es uno de los elementos más importantes para reconocer un correo electrónico fraudulento", dice Russell, que también es el CISO de la institución. "Sin embargo, la gente que se comunica de forma personal y rápida en un correo electrónico es una de nuestras lagunas de seguridad. Pero por suerte, como comunidad académica, la mayoría de nuestra gente escribe con frases completas. Y puede que tengan un saludo estándar. Por ejemplo, "Hola Lauren, ¿cómo estás?" es un tipo típico de introducción. Así que, si faltan esas cosas, hay una falta de autenticidad". Los empleados del Manhattanville College también han recibido formación para reenviar cualquier correo electrónico sospechoso a los miembros del equipo de Russell, que determinarán su autenticidad.

Kevin Cross, CISO de Dell Technologies, está de acuerdo en que una estrategia antiphishing eficaz debe empezar por concienciar a los empleados sobre cómo identificar un correo electrónico de phishing y cómo denunciarlo. Este enfoque supone un cambio con respecto a la estrategia común de "no hacer clic" utilizada por muchas empresas. Lograr una tasa de cero clics es un objetivo poco práctico y poco realista, defiende Cross. En su lugar, enseñar a los empleados a informar sobre correos electrónicos sospechosos permite a los equipos de seguridad evaluar rápidamente la amenaza potencial y mitigar los efectos de otros ataques similares. Y las organizaciones pueden integrar herramientas en sus plataformas de correo electrónico para facilitar a los trabajadores la denuncia de correos sospechosos, insiste el ejecutivo.

Sin embargo, este tipo de formación no es suficiente, dice Jacob Ansari, líder nacional de la práctica PCI en la práctica de ciberseguridad de Mazars, una empresa global de auditoría, impuestos y asesoramiento. "La mayoría de las estrategias contra el phishing tienen una eficacia limitada porque se centran en la punta del proverbial iceberg: el comportamiento del usuario", afirma. Formar a los usuarios para que detecten los ataques de phishing sólo es eficaz si los esquemas de phishing pueden distinguirse de las actividades empresariales legítimas. Pero cualquier esfuerzo contra el phishing se desvanece rápidamente cuando se espera que los empleados participen en actividades similares a los planes de phishing. "Por ejemplo, una empresa que exige a los usuarios que hagan clic en un enlace enviado desde un remitente externo para completar una comprobación de antecedentes o inscribirse en prestaciones introduciendo información personal en un formulario web alojado en otro lugar como práctica empresarial habitual disminuye el valor de la formación antiphishing", considera.

Además de formar a los usuarios, Ansari indica que las organizaciones deben comprometerse con los directivos a rediseñar los procesos empresariales para que dejen de parecerse a los esquemas de phishing, minimizando el uso de enlaces en los correos electrónicos y exigiendo que las interacciones de terceros con los empleados sigan las normas de la empresa en materia de comunicaciones seguras. "Las empresas también tienen que asegurarse de que todas las partes de la empresa, como recursos humanos, marketing y finanzas, interactúen con terceros y con las comunicaciones de toda la empresa de una manera responsable que evite las condiciones que permiten que prosperen las estafas de phishing", estima.

Falta de cumplimiento/falta de incentivos

Aunque una empresa cuente con una política y un programa de formación sólidos, pueden no ser eficaces si no hay consecuencias para los empleados que infringen la política, baraja Safi. Por ejemplo, si un empleado cae en la trampa de un correo electrónico de phishing y no informa de ello, debería haber consecuencias para fomentar un mejor comportamiento en el futuro. En el Manhattanville College, los empleados que caen en la trampa de los correos electrónicos de phishing deben completar un cierto número de sesiones de formación en línea durante 10 días, dice Russell. Si se limitan a hacer clic en un enlace, sólo reciben una sesión de formación; sin embargo, si realmente dan sus credenciales, tienen que completar tres.

"También reviso la lista de personas que cayeron en un intento de phishing e identifico a los que tienen privilegios superiores, como un vicepresidente", añade Russell. "Y tienen unos cinco minutos en el banquillo conmigo. Les digo que no hay Convención de Ginebra que les proteja. También localizo a los infractores reincidentes y a los que no hicieron la formación, y también pasan cinco minutos en el banquillo conmigo y tenemos una de esas conversaciones incómodas".

Demasiada confianza en pruebas simuladas

Otro talón de Aquiles de las actuales estrategias antiphishing es que algunas empresas pretenden formar a los usuarios para que sean infalibles al 100%, afirma Sushila Nair, responsable de Servicios de ciberseguridad de Capgemini. "Está muy extendida la premisa de que los usuarios finales son los culpables cuando caen en ataques de phishing", dice. "Sin embargo, las organizaciones deben preguntarse: '¿Estamos realmente mirando y midiéndonos contra un valor que dice que debemos aspirar a que el 100% de nuestros usuarios no caigan en una prueba de phishing simulada?".

Si la prueba es sofisticada, fallarán más. Y si la prueba es bastante fácil, todos la pasarán con éxito, añade. La tentación de presentar métricas mejoradas de infalibilidad de los usuarios en las reuniones de la junta directiva puede resultar tentadora para algunos CISO; sin embargo, los líderes deben aceptar que un pequeño porcentaje de usuarios hará clic en los enlaces por mucho que sus empresas les formen; y en tiempos de tensión, ese número aumentará.

Peor aún, muchas organizaciones realizan pruebas de phishing simuladas que normalizan el hecho de hacer clic en enlaces, afirma Nair. "Haces clic en un enlace y puede que te lleve a un portal que dice: 'Vaya, te han engañado'", afirma Nair. Pero obligar a los usuarios a realizar un entrenamiento como parte de la simulación tiene el efecto contrario: es más probable que hagan clic en los enlaces. Ser arrojados a la formación porque han hecho clic en un enlace durante un día ajetreado y estresante enseña a la mayoría de los usuarios a odiar las sesiones de formación y a pasar por ellas -sin prestar atención- lo más rápido posible, añade Nair. "No sólo tiene ese efecto, sino que influye en la forma en que el usuario puede reaccionar ante los correos electrónicos de phishing", afirma. "No harán clic en un correo extraño porque piensen que es una prueba, pero tampoco lo denunciarán".

La conclusión es que los programas antiphishing suelen fallar porque las personas son falibles. La gente comete errores a pesar de la formación y de sus mejores esfuerzos, dice Elizabeth Shirley, abogada y copresidenta del equipo de Ciberseguridad y privacidad de datos de Burr & Forman LLP. "La gente también es emocional y a menudo tiene una reacción visceral a los correos electrónicos de phishing que crean una sensación de urgencia o necesidad", dice. "Estas circunstancias no van a cambiar. Y los correos electrónicos de phishing continuarán, al menos en el futuro previsible".