Proofpoint, proveedor de soluciones para la protección del e-mail corporativo, ha publicado recientemente su informe ‘Human Factor 2019’, en el que revela las tácticas con las que los cibercriminales se dirigen a las personas que forman una empresa, antes que a sus sistemas e infraestructuras de TI, con el objetivo de instalar malware, iniciar transacciones fraudulentas o robar datos, entre otras cosas.
Este estudio parte del análisis de la base global de clientes de la compañía durante un año y medio. “Actualmente, los cibercriminales se están dedicando a atacar de manera agresiva a los usuarios, ya que resulta mucho más fácil y rentable enviar correos electrónicos fraudulentos, robar credenciales y subir archivos maliciosos a aplicaciones en la nube que crear un exploit caro, lento y con una mayor probabilidad de error”, apunta Kevin Epstein, vicepresidente de threat operations para Proofpoint.
“Más del 99% de los ciberataques depende de la interacción humana, lo que convierte a los usuarios individuales en la última línea de defensa de una organización. Para reducir significativamente este riesgo, las empresas necesitan un enfoque holístico en ciberseguridad, centrado en las personas, que contemple una formación eficaz de los empleados en esta materia, así como sistemas de defensa por capas que les den visibilidad de cuáles son sus usuarios más atacados”.
Índice de temas
Algunos datos de interés
Más del 99% de las amenazas observadas en el estudio se ha activado mediante la acción de una persona, bien sea para ejecutar macros, abrir archivos o seguir enlaces, lo que pone de manifiesto la importancia que tiene hoy la ingeniería social para que un ataque sea exitoso.
Por otro lado, los señuelos relacionados con Microsoft están entre los más usados. Alrededor de 1 de cada 4 correos electrónicos de phishing enviados en 2018 estaba asociado a productos de Microsoft. En 2019 ha habido un cambio en cuanto a almacenamiento en la nube en términos de eficacia, con DocuSign y el phishing en servicios cloud de Microsoft. La mayoría de estos cebos de phishing tenía como objetivo el robo de credenciales, creando asimismo bucles de retroalimentación para informar sobre futuros ataques, movimientos laterales, phishing interno, etc.
Los actores de amenazas están perfeccionando sus herramientas y técnicas en busca de mayor beneficio económico y robo de datos. Al principio, los impostores acometían normalmente ataques de uno contra uno o de uno hacia varios usuarios. Ahora, los cibercriminales están obteniendo sin embargo mejores resultados mediante ataques que utilizan más de cinco identidades contras más de cinco usuarios en organizaciones objetivo.
Durante los últimos 18 meses, las principales familias de malware han sido troyanos bancarios, ladrones de información, herramientas de administración en remoto (RAT) y otras cepas no destructivas, diseñadas para permanecer en los dispositivos infectados y así robar continuamente datos de utilidad para los actores de amenazas.
Amenazas centradas en el usuario
Los cibercriminales atacan a las personas, y no necesariamente a las consideradas como VIP dentro de una organización. Los atacantes suelen dirigirse a los usuarios denominados como VAP o “very attacked people”. Es decir, personas muy atacadas en lo más profundo de una empresa. Estos usuarios suelen tener mayor probabilidad de convertirse en objetivo de ataque, al igual que aquellos trabajadores con direcciones de correo fáciles de encontrar y acceso a datos sensibles de la compañía.
El 36% de los perfiles VAP puede encontrarse de forma ‘online’ a través de páginas web corporativas, redes sociales o publicaciones. Si hablamos de empleados VIP que también sean VAP, en un 23% de los casos puede localizarse su información de contacto a través de Google. Los impostores imitan la rutina de los trabajadores de una empresa para evitar ser detectados. El envío de mensajes por parte de los cibercriminales sigue fielmente los patrones de tráfico de correo electrónico de una organización. De este modo, la mayoría de los e-mails se despacha los lunes (+30%) y, en fin de semana, el porcentaje se sitúa en menos del 5%.
Los actores de ‘malware’ son menos propensos a seguir el tráfico de e-mails esperado. Gran parte de los correos electrónicos maliciosos del segundo trimestre de 2019 se ha distribuido de manera uniforme durante los tres primeros días de la semana y en campañas de ciberataques iniciadas en domingo (+10% del total analizado).
A la hora de hacer clic en enlaces maliciosos, existen diferencias significativas según la ubicación del usuario, como reflejo de las diferencias en cuanto a hábitos y cultura laboral entre las distintas regiones del mundo. Por ejemplo, los trabajadores en Norteamérica y Asia-Pacífico caen en este tipo de cebos a primera hora del día, mientras que en Europa y Oriente Próximo suelen hacer clic al mediodía y después del almuerzo.
Ataques por correo electrónico: sectores en riesgo
Educación, finanzas, marketing y publicidad han sido las industrias con un promedio más alto en ataques, un índice que mide la gravedad y el riesgo de los ciberataques. El sector educativo suele ser con frecuencia el blanco de las amenazas más severas y agrupa a un mayor número de usuarios VAP en comparación con otras áreas profesionales. En cambio, el sector financiero tiene una media relativamente alta de ataques, pero menos empleados VAP.
En 2018 se registraron los niveles más altos en cuanto a amenazas de impostores en los sectores de ingeniería, automoción y educación, con una media de más de 75 ataques por organización. Probablemente, esto se deba a las complejidades que entrañan las cadenas de suministro en ingeniería y automatización, además del alto valor que supone para los cibercriminales las vulnerabilidades de usuario y objetivos de ataque, especialmente, entre la población estudiantil. Posteriormente, en la primera mitad de 2019, los sectores más afectados han sido los de servicios financieros, fabricación, salud y retail.
El kit de phishing Chalbhai, el tercer cebo más popular en la primera mitad de 2019, ha tenido como objetivo conseguir credenciales de algunos de los principales bancos y compañías de telecomunicaciones globales y de Estados Unidos, entre otras organizaciones, a través de una serie de plantillas de correo electrónico atribuidas a un grupo de cibercriminales en concreto que luego ha sido utilizada por múltiples actores de amenazas.
Los atacantes se aprovechan de la inseguridad humana. Los cebos más efectivos que se han utilizado en ataques de phishing durante 2018 estaban relacionados con el término “brainfood”, una forma de alimentación neurosaludable, mediante el cual los cibercriminales intentaban robar datos de tarjetas de crédito. Este tipo de señuelos ha registrado una tasa superior a 1,6 clics por mensaje, más del doble que en el caso del segundo cebo más efectivo entre usuarios.