Entrevista en exclusiva con Eusebio Nieva, director técnico de Check Point Software para España y Portugal
¿Cuáles son las técnicas de phishing más comunes utilizadas por los ciberdelincuentes en la actualidad?
Tal y como muestra esta nueva campaña enfocada en los avisos para la convocatoria de los ciudadanos a las mesas electorales, uno de los métodos favoritos de los ciberdelincuentes es el correo electrónico.
Sólo durante los meses de febrero y marzo, nuestros investigadores identificaron casi 34.000 ciberataques por correo electrónico en los que l se hacían pasar por marcas y servicios legítimos y populares con la intención de robar los datos de las víctimas.
El uso de esta plataforma les permite crear unos mensajes más elaborados y preparados, lo que se traduce en correos falsos que son muy similares a las comunicaciones originales y eso hace que cueste mucho más identificarlos.
Adicionalmente, la llegada de las herramientas de inteligencia artificial permite realizar campañas de phishing más elaboradas, provocando un importante crecimiento en el número de pequeños grupos de ciberdelincuentes. De hecho, coincidiendo con la llegada y popularización de ChatGPT, nuestros investigadores han detectado un crecimiento del 38% en el número total de ciberataques a nivel global en comparación con el año pasado.
¿Cuál es la relación entre el phishing y el robo de identidad? ¿Qué información personal es más buscada por los atacantes a través de estos ataques?
Uno de los objetivos principales de este tipo de ciberataques es el robo de información, desde datos personales hasta datos bancarios, e incluso las propias credenciales de acceso a las cuentas de los usuarios. Y es que, al hacerse con ellos, los ciberdelincuentes pueden suplantar la identidad de sus víctimas para aumentar todavía más la efectividad de sus próximos ataques ya que pueden enviar nuevas comunicaciones utilizando sus nombres o direcciones de correo.
¿Cuál es el impacto financiero y de seguridad que puede tener caer en un ataque de phishing?
El alcance que puede llegara a tener un ciberataque de phishing es múltiple. Por una parte, podemos encontrar ataques que buscan engañar directamente a las víctimas para que realicen algún tipo de pago.
Sin embargo, en muchas ocasiones estos ataques se centran en la recopilación y robo de datos. Esto engloba desde el robo de credenciales bancarias hasta otro tipo de información personal o documentos sensibles, los cuales pueden llevar a otro tipo de estrategias como la extorsión.
Y es que de hecho el ransomware es una de las consecuencias más comunes de los ataques por phishing, siendo de hecho la herramienta de malware más utilizada por los ciberdelincuentes, y más temida por las empresas.
Los últimos estudios muestran cómo el coste final de un ataque de ransomware puede llegar a resultar hasta siete veces mayor que la cantidad que se paga por el rescate de los equipos afectados, sumando datos filtrados, la interrupción del servicio, o las pérdidas digitales derivadas del borrado de datos.
No cabe duda de que hoy en día los ciberataques son una preocupación cada vez más importante para cualquier usuario, pero especialmente para las compañías. Según nuestro informe de predicciones, los ciberataques irán en aumento durante los próximos años, pudiendo llegar a alcanzar unas pérdidas y costes que ascenderán hasta los 10 billones de dólares en 2025.
¿Cuáles son las mejores prácticas para protegerse contra el phishing en el entorno empresarial? ¿Qué medidas de educación y concientización se pueden implementar para prevenir el phishing entre los usuarios?
Con unos ciberataques cada vez más sofisticados y complejos, resulta más difícil discernir los correos seguros del phishing. Por ello, una de las mejores estrategias que puede seguir cualquier usuario es la de aprender a detectar este tipo de ciberataques.
Y es existe una serie de indicios con los que se puede identificar de forma más efectiva este tipo de comunicaciones no deseadas, los cuales siempre deberían hacernos sospechar.
En caso de duda, es importante que siempre contrastemos la dirección de un correo entrante con la web a la que dice pertenecer, ya que en muchas ocasiones se pueden encontrar faltas de ortografía o pequeños trucos visuales cambiando o combinando algunas letras (amzn.com o arnazon.com en vez de amazon.com, por ejemplo).
Asimismo, es muy frecuente que las comunicaciones de phishing insten de manera bastante directa a hacer clic en un enlace, utilizando argumentos de urgencia o el miedo de los usuarios ante posibles incidentes mayores para confundirles y llevarlos a una web de registro u otro tipo de formularios en los que se les solicita nuestra información o credenciales. Por otra parte, si los mensajes de servicios o entidades en los que ya somos clientes se dirigen a nosotros con formas neutras como “estimado cliente…” o “Sr/Srta/Sra ….”, también hacer que se disparasen las alarmas.
En cualquier caso, para evitar estos problemas y, ante cualquier tipo de sospecha, el consejo es que verifiquemos la información directamente en el supuesto origen de la comunicación, entidad financiera, servicio de suscripción, vendedor… y evitemos pinchar en los enlaces que se adjuntan en la comunicación no solicitada.
Por supuesto, además de dotar a los empleados con una educación en ciberseguridad, las empresas pueden implantar soluciones de seguridad como Harmony, que les ayuden a detectar y filtrar estos mensajes potencialmente maliciosos de manera previa a que lleguen a sus receptores.
¿Cuáles son los motivos principales detrás de la difusión de información falsa por parte de los ciberdelincuentes? ¿Qué beneficios obtienen al llevar a cabo esta actividad?
Los ciberdelincuentes utilizan la desinformación para tratar de nublar el juicio de sus víctimas, buscando en muchas ocasiones apelar a emociones básicas como el miedo o el enfado para que tomen decisiones rápidas y precipitadas, y finalmente, acaben siguiendo los pasos que los atacantes buscan.
Dependiendo del tipo de atacante, el objetivo puede ser el robo de credenciales para su uso inmediato con propósito malicioso, o la venta de estas credenciales en paquetes o de forma individual a terceros para su uso malicioso. En otros casos puede ser el robo de acceso a cuentas más sensibles (entidades financieras, tarjetas de crédito…), con el mismo propósito, uso inmediato para obtener rédito económico o venta a terceros para que estos cometan el delito.
¿En qué medida la propagación de información falsa por parte de los ciberdelincuentes puede influir en la sociedad y en los individuos afectados?
Concretamente dentro de los periodos electorales, la desinformación y las fakenews son una de las herramientas principales para las campañas de hacktivismo (como la creación de páginas web fraudulentas y la publicación de fake news) orientadas tanto a las campañas de phishing y al robo de datos, como a la erosión de la estabilidad de los Estados y de sus instituciones.
Y es que en muchas ocasiones los ciberdelincuentes actúan con motivaciones adicionales como afiliaciones políticas o culturales, o incluso bajo la contratación de otros agentes tales como empresas o entidades asociadas a otros Estados.
¿Existen casos en los que los ciberdelincuentes utilicen la difusión de información falsa como estrategia para llevar a cabo ataques más amplios? ¿Cuáles podrían ser estos ataques y qué impacto podrían tener?
Durante los últimos años se ha visto el auge de los grupos de hacktivismo con motivaciones políticas, como los iraníes «Hackers of Savior» o la más reciente «IT Army of Ukraine». El ciberespacio se ha convertido en un componente vital de los conflictos modernos, superando las limitaciones geográficas de las disputas internacionales. Mientras los 350.000 miembros globales del Ejército IT de Ucrania luchan por interrumpir las comunicaciones rusas y descubrir información, el consolidado grupo ruso Killnet ha pasado enero de 2023 lanzando ataques de espionaje phishing contra el Ministerio de Defensa letón.
En general la estrategia de uso de noticias falsas está más ligada a motivos políticos o de “hacktivismo” que a estrategias de ataque para obtener un beneficio económico. Aunque también hemos sido testigos de otras campañas de disrupción con objetivos más mediáticos, tales como los ataques de denegación de servicio, que en muchas ocasiones utilizan esta confusión generalizada para enmascarar y realizar otro tipo de intrusiones.
¿Cómo se relacionan la difusión de información falsa y los ciberataques dirigidos a daños digitales? ¿Hay alguna conexión o interdependencia entre estas dos actividades?
La difusión de información falsa puede ser utilizada como una táctica para más para alcanzar más objetivos en un ataque de phishing, por ejemplo, una noticia espectacular con una foto trucada (ejemplo la famosa foto trucada de la detención de Donald Trump) podría genera expectación y hacer que un usuario pinche en un enlace que proclama facilitar más información, allí se le piden datos de acceso y ya habría sufrido el ataque. Sin embargo, serían ataques más inmediatos y no se basarían en una voluntad de difundir información falsa, sino que utilizarían esta como gancho.
Como hemos comentado anteriormente, estas fake news suelen tener un origen en el hacktivismo, ya sea para lograr algún propósito político o bien de intervencionismo en la opinión pública.
Este tipo de campañas suelen estar dirigidas a causar la máxima interrupción y repercusión mediática. Los principales objetivos se centran en las infraestructuras críticas de instituciones financieras, edificios gubernamentales o proveedores de energía, entre otros.
¿Qué medidas se están tomando a nivel global para contrarrestar la difusión de información falsa y los ciberataques que no se limitan solo a daños digitales? ¿Qué desafíos existen en esta área y qué más se puede hacer para combatir estas amenazas?
La ciberseguridad gubernamental requiere una modernización en dos campos: estrategia y solución. En primer lugar, el equilibrio de responsabilidades debe cambiar, ofreciendo a los particulares y las empresas la posibilidad de recurrir a organizaciones especializadas que puedan ayudarles a reducir los riesgos digitales.
Actualmente existen páginas web destinadas al combate de la desinformación, tales como la iniciativa europea EuropeVSDiSiNFO, en las que podemos comprobar la veracidad de algunas de las fake news en circulación. Adicionalmente, organismos locales como la Policía Nacional o la Guardia Civil, cuentan ya con sus propias divisiones para combatir el cibercrimen, ayudando a difundir la desacreditación de los bulos y fake news.
Por otra parte, resulta imprescindible que las organizaciones internacionales comiencen a adoptar un enfoque de ciberseguridad más proactivo, buscando eliminar estas amenazas incluso antes de que ocurran. Y es que los modelos Zero Trust ayudan no sólo a limitar las acciones de los ciberdelincuentes, sino a minimizar los posibles daños en el caso de que se produzca una vulnerabilidad.
