[30/04/2022] El phishing sigue siendo uno de los principales mecanismos de ataque para los malos actores con una variedad de juegos finales en mente, en gran parte porque los ataques de phishing son triviales de lanzar y difíciles de proteger completamente. Algunos ataques de phishing se dirigen a los clientes en lugar de a los empleados, y otros simplemente pretenden dañar la reputación de su empresa en lugar de poner en peligro sus sistemas. Un factor clave para proteger a su empresa del phishing es comprender sus vulnerabilidades, sopesar el riesgo potencial para su negocio, y decidir qué herramientas ofrecen la mejor protección para satisfacer las necesidades de su empresa.
Por qué tiene éxito el phishing
La mayoría de los ataques de phishing tienen menos que ver con la tecnología y más con la ingeniería social. Es sorprendente la facilidad con la que se manipula a los seres humanos cuando se desencadenan las emociones. Muchos correos electrónicos de phishing modernos juegan con la empatía o el miedo, o incluso hacen acusaciones hostiles para desencadenar una respuesta airada.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Otra razón por la que el phishing tiene tanto éxito y es tan popular es que puede utilizarse para perturbar a un objetivo de diferentes maneras: por ejemplo, afectando a la productividad humana al exigir a los empleados que validen manualmente el contenido del mensaje o que involucren al departamento de TI de la empresa, o comprometiendo las cuentas financieras o los sistemas de la empresa (lo que a menudo conduce a ataques de ransomware). Por otro lado, el phishing es difícil de prevenir debido al riesgo de que los falsos positivos interrumpan la comunicación empresarial legítima.
Cómo proteger su empresa contra el phishing
Una parte importante de la protección de su empresa, empleados y clientes contra los ataques de phishing consiste en aprovechar las normas del sector y aplicar las mejores prácticas siempre que sea posible. Estándares como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC) tienen como objetivo luchar contra la prevalencia del spam, permitiendo a los servidores de correo electrónico receptores autenticar los servidores de los que reciben el correo. Dicho de otro modo, el objetivo de estos estándares es garantizar que los servidores de correo que dicen enviar en nombre de su dominio están autorizados a hacerlo. Cada uno de estos estándares se basa en el DNS y son relativamente sencillos de implementar.
De hecho, es probable que usted obtenga su correo electrónico a través de un proveedor de servicios como Google o Microsoft, y ese servicio incluye la implementación actualizada de estos estándares. Los servicios profesionales de correo electrónico como éstos ya ofrecen cierto nivel de protección contra el phishing, pero están lejos de ser perfectos, lo que deja abierto un mercado para estos servicios.
Uno de los principales métodos de ataque está orientado a robar información a través de métodos de baja tecnología, como las respuestas al correo electrónico. Herramientas como las políticas de contenido disponibles en los servicios de productividad empresarial como Microsoft 365, Google Workspace, e incluso como herramienta de terceros de múltiples proveedores, son de gran valor para evitar que este tipo de ataques lleguen a buen puerto. Las políticas de contenido ayudan a automatizar la identificación de tipos de información clave como números de tarjetas de crédito o de cuentas bancarias, números de la seguridad social y otros datos que deben ser estrechamente protegidos, y evitan que esta información se envíe fuera de la organización.
El mayor riesgo derivado de los ataques de phishing para la mayoría de las empresas es el compromiso del sistema que, en última instancia, resulta en una pérdida financiera o de datos (o incluso ransomware). Por ello, el principal mecanismo de defensa debe ser una forma sólida de autenticación multifactor (MFA) y estándares de autenticación como Fast Identity Online v2 (FIDO2) o Web Authentication (WebAuthn). Lo ideal sería que las empresas llevaran la MFA un paso más allá, e introdujeran la autenticación sin contraseña utilizando la confianza cero. Las estrategias modernas de autenticación, como la autenticación basada en el riesgo y el Lenguaje de Marcado de Aserción de Seguridad (SAML, por sus siglas en inglés), también son herramientas poderosas para evitar que se produzca el peor de los escenarios debido a un ataque de phishing exitoso. Cada uno de estos componentes tiene un papel que desempeñar en su organización, pero los beneficios son dobles: el daño causado por una contraseña comprometida se minimiza (si no se erradica), y los sistemas se ponen en marcha para poder analizar los intentos de autenticación y reaccionar a las credenciales comprometidas en tiempo real.
Las mejores herramientas antiphishing
Existe una gran variedad de herramientas para ayudar a proteger su empresa de los tipos de amenazas que los ataques de phishing presentan a su organización. La mitad de la batalla consiste en saber qué soluciones están disponibles y cómo pueden ayudar a proteger su empresa y, por tanto, a sus empleados y clientes.
1. Avanan: Avanan ofrece un software antiphishing para el correo electrónico alojado en la nube, que se conecta a su proveedor de correo electrónico mediante API para entrenar su IA utilizando el correo electrónico histórico. El servicio analiza no solo el contenido de los mensajes, el formato y la información del encabezado, sino que evalúa las relaciones existentes entre remitentes y receptores para establecer un nivel de confianza.
2. Barracuda Sentinel: Barracuda Sentinel es otra herramienta que aprovecha las API de los proveedores de correo para proteger contra el phishing y el compromiso del correo electrónico empresarial (BEC). Dado que las cuentas de correo electrónico comprometidas tienden a provocar más intentos de phishing o más ataques basados en la cuenta, el enfoque de Barracuda en minimizar el daño posterior como resultado de un intento de phishing exitoso tiene más valor que confiar únicamente en la prevención. Barracuda también proporciona protección de marca y prevención de fraude de dominio a través de análisis e informes DMARC.
3. BrandShield: BrandShield se centra exclusivamente en la protección de su marca corporativa y la de sus ejecutivos. La identificación de ataques de phishing (a través del correo electrónico, las redes sociales u otros medios) que aprovechan su marca o los nombres de sus ejecutivos es solo uno de los componentes de la cartera de BrandShield. BrandShield también vigila Internet en busca de sitios web fraudulentos que utilicen su marca, así como mercados como Amazon, donde podrían aparecer falsificaciones físicas de sus productos para su venta.
4. Cofense PDR: Cofense PDR (Phishing Detection and Response) es un servicio gestionado en el que tanto las herramientas basadas en la IA como los profesionales de la seguridad se aprovechan conjuntamente para identificar y mitigar los ataques de phishing a medida que se producen. Los servicios gestionados pueden ser una buena opción si se necesita maximizar el nivel de protección, ya que pueden ser más eficaces que incluso la contratación de un equipo a tiempo completo para gestionar la prevención del phishing, ya que el equipo de servicios gestionados es capaz de evaluar los datos de las amenazas de todos los sistemas de la empresa que protegen.
5. RSA FraudAction: El servicio antiphishing de RSA FraudAction proviene, obviamente, de uno de los grandes nombres de la seguridad de la red, y la lista de funciones que ofrece es la que cabría esperar de un gran éxito. El servicio antiphishing es un servicio gestionado como el que ofrece Cofense, y RSA aporta capacidades como el cierre de sitios, análisis forense y contramedidas opcionales, como responder estratégicamente a los intentos de phishing con credenciales plantadas para seguir la cadena de ataque y responder en consecuencia.
6. IRONSCALES: IRONSCALES es una plataforma de seguridad de correo electrónico que busca fortalecer su sistema de correo electrónico existente a través de la detección y el análisis dinámicos: bloqueando, marcando o simplemente añadiendo un banner al correo electrónico potencialmente sospechoso. IRONSCALES también ofrece formación a los usuarios finales, centrada en la seguridad del correo electrónico y en la concienciación general, lo que ayuda a reforzar su defensa contra el núcleo del phishing: el ataque de ingeniería social.
7. KnowBe4: KnowBe4 cuenta con uno de los nombres más importantes del hacking (Kevin Mitnick) como su jefe de Hacking. Muchas de las hazañas de Mitnick se centraron en la ingeniería social, y su negocio lo refleja al centrarse en permitir a los empleados tomar mejores decisiones a través de la educación. Además de su formación de concienciación de primera categoría, KnowBe4 también ofrece PhishER, que es una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) centrada en los intentos de phishing: lo que permite a su equipo de seguridad responder de forma más eficiente a las amenazas basadas en el correo electrónico para su organización.
8. Mimecast: Mimecast ofrece varias herramientas para proteger contra los intentos de phishing, incluyendo funciones que detectan enlaces y archivos adjuntos maliciosos eliminándolos o haciéndolos seguros mediante métodos avanzados como el sandboxing. La capacidad de Mimecast para prevenir ataques basados en código iniciados a través de correos electrónicos de phishing o métodos más sofisticados como los códigos QR abriendo enlaces dentro de la nube de Mimecast, simplificando el proceso de implementación y asegurando que las herramientas de prevención estén siempre actualizadas a la última.
9. Microsoft Defender para Office 365: Microsoft Defender para Office 365 aporta capacidades similares a algunas de las otras herramientas de esta lista: formación de usuarios, detección y prevención de phishing, análisis forense y de causa raíz, e incluso caza de amenazas. Dado que Defender es simplemente un complemento para Office 365, se integra estrechamente sin tener que configurar la integración inicial. Microsoft también ofrece políticas de seguridad preestablecidas que puede ajustar a sus necesidades; admite la aplicación, la opción de que los usuarios las anulen, y el seguimiento de los cambios de políticas a lo largo del tiempo. Este servicio tiene ventajas especiales para los clientes de Office 365, y desventajas especiales para todos los demás.
10. Valimail: Valimail debería ser de interés incluso para las tiendas de TI con poco o ningún presupuesto. La oferta de DMARC de Valimail le guía a través de la configuración de DMARC para sus dominios de correo electrónico, y luego agrega y genera informes diarios de DMARC. Esta visibilidad de la autenticación del correo electrónico puede ayudarle a identificar rápidamente remitentes adicionales que pueden ser legítimos, añadirlos potencialmente a su configuración DMARC y, a continuación, aumentar la aplicación para evitar que el correo electrónico no autorizado falsifique su dominio. Lo mejor es que Valimail ofrece sus herramientas DMARC de forma gratuita. El otro servicio que ofrece Valimail es Amplify, que facilita la implementación del estándar BIMI (Brand Indicators for Message Identification), que añade un logotipo corporativo al correo electrónico procedente de su organización, mostrando que el remitente está autenticado y es válido. BIMI no solo añade una capa de sofisticación a su configuración de correo electrónico, sino que aumenta la confianza en los correos electrónicos procedentes de su dominio, tanto para los servidores receptores como, en última instancia, para el destinatario.
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú
Puede ver también: