Sospechosos habituales
El otro día, un buen amigo y experto en ciberseguridad, me contó el resultado de un ejercicio de simulación de ataque de Phishing(1) que había realizado en su empresa.
Estos simulacros se realizan para mejorar la concienciación y las capacidades de reacción de los usuarios ante los cada vez más frecuentes incidentes. Los responsables de proteger los activos TIC(2) frente a las ciberamenazas, llevamos años organizando cursos de ciber concienciación, píldoras sobre seguridad o newsletters tecnológicos.
El ejercicio de simulación consistía simplemente en que unos hackers enviaran un correo a todos los usuarios de la compañía en formato de “caja negra”, es decir, todo lo que necesitaran lo debían obtener mediante técnicas OSINT(3), y las estrategias de ataque debían ser diseñadas por ellos. No se les facilitaba ninguna información.
El resultado fue que aproximadamente el 20% de la plantilla picó el anzuelo, o sea, accedió a un enlace que, si bien no era malicioso, apuntaba a un pdf que contenía una encuesta con un botón que, ese sí, solicitaba las credenciales del usuario y que, a través de la técnica de Man in the Middle(4), lograba comprometerlas. Más allá de los tecnicismos, lo que me sorprende es que tantos usuarios cayeran en la trampa. Las consecuencias podrían haber sido graves, de no haberse tratado de un simulacro.
Según las estadísticas que están publicadas, los datos coinciden: el 21% de los profesionales cae en las redes del Phishing, y ello a pesar de que en los tiempos que corren se podría presumir una razonable madurez en lo que se refiere a la cibercultura.
Una de las siete tendencias en ciberseguridad del Informe 2022 de Gartner decía literalmente: "Ir más allá de la concienciación" y hablaba de organizaciones más progresistas que estaban dejando atrás las campañas tradicionales de concienciación para invertir en programas holísticos de cambio de comportamiento y cultura. Sea como sea, tenemos que buscar nuevos mecanismos para lograr reducir a cero el número de víctimas de phishing. De poco sirve invertir miles de euros en bastionar los sistemas, si luego somos engañados tan fácilmente.
Si estás leyendo este artículo y has llegado hasta aquí, recuerda tres medidas muy eficaces y fáciles de implantar: usar contraseñas robustas, utilizar autenticación multifactor (por ejemplo, añadir un acceso biométrico, además de la contraseña) y desconfiar para evitar ser víctima de los ciberataques.
Por lo tanto y como en la famosa película, y dado que una parte considerable de los correos que recibimos diariamente son ilegítimos, adoptemos y normalicemos una actitud de desconfianza. Los correos electrónicos se han convertido en sospechosos habituales.
*Phishing(1): Es un tipo de ataque que trata de robar datos confidenciales mediante el envío de correos electrónicos engañosos.
*TIC(2): Tecnologías de la Información y las Comunicaciones.
*OSINT(3): en inglés significa Inteligencia de Fuentes Abiertas y se refiere al conjunto de técnicas y herramientas que se utilizan para recopilar información pública, analizar datos y relacionarlos para convertirlos en conocimiento útil.
*Man in the Middle(4): Es un tipo de ataque en el que alguien intercepta la comunicación entre dos dispositivos conectados en la red.
Artículos Relacionados
- ¿Es demasiado bueno para ser verdad?
- Evolucionando digitalmente
- ¿Qué es un ataque Man in the Middle y cómo evitarlo?
Sobre el Autor
Felipe González de Mesa Ponte
Felipe González de Mesa Ponte es Director de Tecnología e Infraestructuras en Cajasiete, Miembro del Consejo Asesor de la Cátedra Cajasiete Big Data, Open Data y Blockchain en la Universidad de la Laguna y Máster en Business Intelligence & BigData por la EOI. Estudió Informática en Las Palmas de Gran Canaria. Inició su carrera en el Área de Informática del Ayuntamiento de Santa Cruz de Tenerife.
Posteriormente trabajó en Accenture cinco años y en 1999 se incorporó a Cajasiete.
A lo largo de estos años ha continuado su formación en diversas especialidades entre las que destaca la Gestión y Dirección de Empresas, Big Data, Inteligencia de Negocio, Banca Digital y Fintech.
Participa en la temática de Innovación y Tecnología.