[29/03/2023] Los intentos de phishing suelen ser como pescar en un barril: con el tiempo suficiente, es 100% probable que un actor malicioso atrape a una víctima. Una vez que reconozcan a las organizaciones como habitualmente vulnerables, continuarán centrándose en ellas y el ciclo de pesca en barril nunca acabará.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Los actores maliciosos están altamente motivados y financiados con el único intento de tener éxito atrayendo a una sola víctima”, afirma Johanna Baum, CEO y fundadora de Strategic Security Solutions Consulting. "Sin embargo, como organización, tiene la tarea de proteger a todas las víctimas potenciales”.
Pasar por alto o juzgar mal la higiene de la seguridad de TI aumenta en gran medida la susceptibilidad a un ataque. Pero incluso si está siguiendo un protocolo prístino, ha ofrecido capacitación a los empleados, le recuerda repetidamente al personal que verifique las comunicaciones sospechosas y se mantiene al tanto de las últimas campañas nefastas para engañar a los incautos, su organización es y siempre será vulnerable.
Aquí hay seis razones por las que su estrategia antiphishing no está funcionando.
Los ataques de phishing son cada vez más creíbles y sofisticados
Los ciberdelincuentes están desarrollando continuamente nuevas tácticas para engañar a las personas para que entreguen información confidencial y, como resultado, los ataques de phishing se están volviendo más sofisticados, asegura Krissy Safi, directora general y líder de la práctica global para pruebas de ataque y penetración en Protiviti.
"Muchas soluciones antiphishing utilizan reglas estáticas para detectar ataques de phishing, que pueden ser fácilmente eludidas por los atacantes utilizando técnicas más avanzadas”, señala Safi. "Además, con la introducción de ChatGPT, habrá una proliferación de correos electrónicos de phishing con una gramática perfecta y sin faltas de ortografía, lo que dificultará en mayor medida la identificación de un correo de phishing enviado por un ciberdelincuente”.
Con ChatGPT y las versiones de código abierto a disposición de los delincuentes, las comunicaciones vulneradas de una empresa se convierten en una panacea para los estafadores: la IA puede aprender en tiempo real qué funciona y qué no, aumentando las posibilidades de que un ataque encuentre un objetivo dispuesto.
Incluso sin emplear chatbots, los atacantes son cada vez más competentes: tomemos como ejemplo la violación de seguridad del 2022 de la empresa de comunicaciones en la nube Twilio. En ese caso, los atacantes pudieron cotejar los nombres y números de teléfono de los empleados utilizando bases de datos disponibles públicamente. El ataque de ingeniería social "consiguió engañar a algunos empleados para que proporcionaran sus credenciales”, indica Twilio en un informe de incidentes. "Luego, los atacantes usaron las credenciales robadas para obtener acceso a algunos de nuestros sistemas internos, donde pudieron acceder a ciertos datos de los clientes”.
Poner todos los huevos en la cesta de la tecnología
Muchas organizaciones están tratando de resolver el problema del phishing únicamente con tecnología. Estas empresas están comprando las últimas herramientas para detectar correos electrónicos sospechosos y ofrecer a los empleados una forma de denunciarlos y luego bloquearlos, señala Eric Liebowitz, director de seguridad de la información para América en Thales Group, una empresa con sede en París que desarrolla dispositivos, equipos y tecnología para las industrias aeroespacial, espacial, de transporte, defensa y seguridad.
Si bien esa solución está muy bien, al final los actores maliciosos siempre van a ser más sofisticados, afirma.
"Una de las cosas más importantes en las que no creo que se estén enfocando suficientes organizaciones es en capacitar a sus empleados”, señala Liebowitz. "Pueden tener implementadas las mejores herramientas, pero si no capacitan a sus empleados, es ahí cuando sucede lo malo”.
Aunque algunas organizaciones han implementado las herramientas adecuadas y cuentan con flujos de trabajo y procesos para combatir las campañas de phishing, no han configurado esas herramientas de manera adecuada y proactiva, asegura Justin Haney, ejecutivo, líder de seguridad de América del Norte en Avanade.
"Por ejemplo, las herramientas pueden marcar y detectar un correo electrónico malicioso, pero no se bloquea automáticamente”, indica. "Con las tecnologías SIEM [gestión de información y eventos de seguridad] y SOAR [respuesta, automatización y orquestación de la seguridad], las organizaciones deben implementar libros de jugadas específicos en respuesta a posibles campañas de phishing identificadas, en lugar de más trabajo manual por parte de los analistas”.
No adoptar una estrategia holística de defensa en profundidad
Algunas organizaciones con estrategias fallidas contra el phishing no adoptan una estrategia holística de defensa en profundidad, afirma Haney.
"Es probable que se enfoquen en tecnologías particulares -antiphishing de correo electrónico, autenticación multifactor, cifrado de datos, seguridad de puntos finales/móvil-, y no se fijen en otras que mitigan los riesgos a lo largo de la cibercadena asesina, por ejemplo, la detección de identidades comprometidas”, señala.
El problema de no implementar una estrategia holística de defensa en profundidad y confiar únicamente en un programa antiphishing es que solo se necesita un ataque exitoso para derribar todo el sistema, explica Bryan Willett, CISO de Lexmark. Confiar en un enfoque de defensa basado en el correo electrónico o depender en gran medida de la capacitación de los usuarios es inherentemente defectuoso, ya que las personas son propensas a cometer errores y basta con uno para que un atacante tenga éxito.
La mejor manera de defenderse contra los ataques de phishing es a través de un enfoque de defensa por capas, asegura Willett. Esto incluye disponer de un buen sistema de detección y respuesta de puntos finales (EDR) en cada estación de trabajo, un sólido programa de gestión de vulnerabilidades, habilitar la autenticación multifactor para cada usuario y cuenta de administrador, así como implementar la segmentación en la LAN/WAN para limitar la propagación de un sistema infectado.
"Al tomar estas precauciones e implementar múltiples capas de defensa, una organización puede protegerse mejor contra un ataque de phishing”, agrega Willett. "Debemos asumir que el atacante tendrá éxito en algún momento. Por lo tanto, necesitamos defender con esa suposición en mente mediante el uso de un enfoque de defensa integral por capas”.
No capacitar a los empleados para que reconozcan los intentos de phishing
Si bien capacitar a los empleados para que no hagan clic en enlaces o abran archivos adjuntos en correos electrónicos de remitentes desconocidos es fundamental, los empleadores también deben educar a los trabajadores sobre cómo reconocer correos electrónicos fraudulentos, asegura Jim Russell, CIO de Manhattanville College en Harrison, Nueva York.
"Uno de los temas de los que hablamos en nuestra capacitación es la voz auténtica, que es uno de los elementos más importantes para reconocer un correo electrónico fraudulento”, explica Russell, quien también asume el rol de CISO en la institución. "Sin embargo, las personas que se comunican de manera personal y rápida en un correo electrónico son una de nuestras brechas de seguridad. Pero afortunadamente, como comunidad académica, la mayoría de los integrantes escribe con oraciones completas, y suelen tener un saludo estándar. Por ejemplo, 'Hola Lauren, ¿cómo estás?' es un estilo típico de introducción. Entonces, si no están presentes esos detalles, existe una falta de autenticidad”. Además, los empleados de Manhattanville College han sido capacitados para reenviar cualquier correo electrónico sospechoso a los miembros del equipo de Russell, quienes determinarán su autenticidad.
Kevin Cross, CISO de Dell Technologies, está de acuerdo en que una estrategia antiphishing exitosa debe comenzar por concientizar a los empleados sobre cómo identificar un correo electrónico de phishing y cómo denunciarlos. Este enfoque supone un cambio con respecto a la estrategia común de "no hacer clic” utilizada por muchas empresas. Lograr una tasa de cero clics es un objetivo poco práctico y no muy realista, afirma Cross. En cambio, enseñar a los empleados a informar sobre correos electrónicos sospechosos permite que los equipos de seguridad evalúen rápidamente la amenaza potencial y mitiguen los efectos de otros ataques similares. Y las organizaciones pueden integrar herramientas en sus plataformas de correo electrónico para facilitar a los trabajadores la denuncia de correos electrónicos sospechosos, indica Cross.
Sin embargo, este tipo de capacitación no es suficiente, advierte Jacob Ansari, líder nacional de la práctica de PCI en la consultora de ciberseguridad Mazars. "La mayoría de las estrategias antiphishing tienen una eficiencia limitada porque se enfocan a la punta del iceberg: el comportamiento del usuario”. Entrenar a los usuarios para detectar ataques de phishing es efectivo únicamente cuando los esquemas de phishing se distinguen de las actividades empresariales legítimas, indica. Pero cualquier esfuerzo contra el phishing se desvanece rápidamente cuando se espera que los empleados participen en actividades similares a los mecanismos de phishing.
"Por ejemplo, una empresa que requiere que los usuarios hagan clic en un enlace enviado desde un remitente externo para completar una verificación de antecedentes o inscribirse en beneficios ingresando información personal en un formulario web alojado en otro lugar como práctica empresarial habitual, disminuye el valor de la capacitación antiphishing”, afirma.
Además de capacitar a los usuarios, Ansari comenta que las organizaciones deben colaborar con los líderes del negocio para rediseñar los procesos empresariales de modo que ya no se parezcan a los esquemas de phishing, minimizando el uso de enlaces en los correos electrónicos y exigiendo que las interacciones entre terceros y los empleados sigan los estándares de la empresa para comunicaciones seguras.
"Las empresas también deben asegurarse de que todas las partes del negocio, como recursos humanos, marketing y finanzas, interactúen con terceros y lleven las comunicaciones de toda la empresa de una manera responsable, evitando las condiciones que permiten que prosperen los mecanismos de phishing”, señala.
Falta de cumplimiento/falta de incentivos
Incluso si una empresa cuenta con un programa y una política de capacitación sólidos, es posible que no sea efectivo si no hay consecuencias para los empleados que infringen la política, indica Safi. Por ejemplo, si un empleado cae en la trampa de un correo electrónico de phishing y no lo reporta, debería haber consecuencias para fomentar un mejor comportamiento en el futuro.
En Manhattanville College, los empleados que caen en la trampa de los correos electrónicos de phishing deben completar una cierta cantidad de sesiones de capacitación en línea durante 10 días, cuenta Russell. Si solo hacen clic en un enlace, reciben una sesión de capacitación; sin embargo, si realmente entregan sus credenciales, deben completar tres sesiones.
"También reviso la lista de personas que cayeron en un intento de phishing e identifico a los que tienen mayores privilegios, como un vicepresidente”, agrega Russell. "Ellos conversan conmigo por unos cinco minutos en el área de penalización. Les digo que no hay una Convención de Ginebra que los proteja. También hago un seguimiento de los infractores reincidentes y de aquellos que no pudieron hacer el entrenamiento y también tenemos una de esas conversaciones incómodas por cinco minutos en al área de penalización”.
Demasiada confianza en las pruebas de phishing simuladas
Otro talón de Aquiles de las estrategias antiphishing actuales es que algunas empresas pretenden capacitar a los usuarios para que sean 100% infalibles, comenta Sushila Nair, directora de servicios de ciberseguridad en Capgemini. "Existe una premisa ampliamente extendida que dice que los usuarios finales son los culpables por caer en ataques de phishing”, señala. "Sin embargo, las organizaciones deberían preguntarse: '¿Realmente estamos mirando y midiéndonos con un valor que dice que debemos apuntar a que el 100% de nuestros usuarios no caigan en una prueba de phishing simulada?'”
Si la prueba es sofisticada, fallarán más. Y si la prueba es bastante fácil, todos la aprobarán con gran éxito. Presentar métricas mejoradas de infalibilidad del usuario en las reuniones de la junta directiva puede resultar tentador para algunos CISO. Sin embargo, los líderes deben aceptar que un pequeño porcentaje de usuarios hará clic en los enlaces sin importar cuánto los capaciten sus empresas; y en tiempos de estrés, ese número será más alto.
Peor aún, muchas organizaciones ejecutan pruebas de phishing simuladas que normalizan el hacer clic en los enlaces, indica Nair. "Presiona un enlace que lo conduce a un portal que dice 'Vaya, has sido engañado'”. Pero obligar a los usuarios a realizar una capacitación como parte de la simulación tiene el efecto contrario: es más probable que hagan clic en los enlaces. Nair explica que tener que llevar una capacitación por hacer clic en un enlace durante un día ajetreado y estresante le enseña a la mayoría de los usuarios a odiar las sesiones de capacitación y a superarlas sin prestar atención y lo más rápido posible.
"No solo tiene ese efecto, sino que influye en la forma en que el usuario puede reaccionar a los correos electrónicos de phishing”, afirma. "No harán clic en un correo electrónico extraño porque piensan que es una prueba, pero tampoco lo reportarán”.
La conclusión es que los programas antiphishing suelen fallar porque las personas son falibles. La gente comete errores a pesar del entrenamiento y de sus mejores esfuerzos, asegura Elizabeth Shirley, abogada y copresidenta del equipo de ciberseguridad y privacidad de datos de Burr & Forman LLP. "Además, las personas son emocionales y muchas veces tienen una reacción visceral a los correos electrónicos de phishing que crea una sensación de urgencia o necesidad”, explica. "Estas circunstancias no van a cambiar. Y los correos electrónicos de phishing seguirán existiendo, al menos en un futuro previsible”.
Basado en el artículo de Linda Rosencrance (CSO) y editado por CIO Perú
Puede ver también: