La seguridad cibernética debe ser vista y analizada como un proceso. No se trata de una única acción o estrategia de prevención, sino que consiste en detectar, prevenir y reaccionar. Sólo en el primer trimestre de 2021, Argentina sufrió más de 124 millones de intentos de ciberataques, cifra que para América Latina fue de 7 mil millones de intentos. No obstante, no es tan importante el número de ataques que se pueda sufrir, sino el nivel de sofisticación y de daño que los ciberdelincuentes pueden lograr mediante el uso de tecnologías avanzadas e inteligencia artificial.
Escribe Dra. Gabriela Álvarez
Un informe de Fortinet, empresa global en soluciones amplias, integradas y automatizadas de ciberseguridad, indicó que Argentina sufrió más de 124 millones de intentos de ciberataques sólo en el primer trimestre del año 2021. En América Latina, la suma para ese mismo período alcanzó los 7 mil millones de intentos de ciberataques. Estas cifras se suman a los ya abultados números del año 2020, año en el cual se registraron más de 900 millones de intentos de ciberataques, de los cuales 550 millones se concentraron tan sólo en el último trimestre del año. Ello explica por qué en los últimos años Argentina ha estado entre los primeros 5 países con mayores intentos de ciberataques de América Latina.
Según el laboratorio de inteligencia de amenazas FortiGuard Labs, que colecta y analiza diariamente incidentes de ciberseguridad en todo el mundo, en los meses de enero, febrero y marzo hubo un aumento en la distribución de malware basado en la web, un ataque en el cual el dispositivo de un usuario se infecta al descargar o instalar malware desde un sitio web malicioso.
Durante enero, febrero y marzo del año 2021, se reportó un importante incremento en la utilización de las redes sociales para difundir publicidad y sitios web engañosos, donde los usuarios comprometidos comparten mensajes con contenido malicioso a sus contactos desde sus perfiles de redes sociales, sin siquiera tener conocimiento de ello.
La llegada de la pandemia de Covid 19 trajo consigo la oportunidad ideal de los hackers para ingresar a las redes corporativas de las empresas, pero también se estableció como nueva modalidad el hackeo de redes personales de los mismos usuarios. Ello tiene que ver con el volumen del mercado y el grado de digitalización de las empresas. Si bien muchas compañías ya contaban con plataformas digitales de interacción con sus clientes, la obligatoriedad que impuso la cuarentena del trabajo remoto desde los hogares, amplió la superficie de ataque, incrementando de esta manera el riesgo de ciberamenazas. En primer lugar, el trabajo remoto desintegró la estructura central de seguridad de las empresas, debido a que muchos empleados debieron utilizar computadoras y celulares personales, al menos en una primera etapa y utilizando el wifi de sus hogares, creció trascendentalmente el uso de la comunicación vía email y el uso de plataformas para la realización de reuniones, actividades escolares, cursos, capacitaciones, entre otras, lo que incrementa más aún el riesgo de ser atacado, máxime si tenemos en cuenta que el grado de seguridad con el que cuentan los usuarios en sus hogares claramente es muy inferior al que puede contar una empresa. El hecho de estar realizando trabajo remoto provoca también que los horarios laborales se desdibujen, permitiendo una mejor administración del tiempo, pero provocando también jornadas de labor más largas, horarios laborales no habituales hasta altas horas de la noche o muy temprano por la mañana, donde el cansancio y la necesidad de despejarse causan también un efecto importante a la hora de cuidarnos en las páginas que googleamos, relajándonos un poco más respecto de las medidas de seguridad que deberían adoptarse para evitar estos ciberataques.
El cambio en la forma de trabajo obligó a los ciberdelincuentes a modificar también su estrategia de ataque. En forma previa a la pandemia, la tendencia marcaba una proliferación de malware utilizado para criptominería. Sin embargo, con la llegada del trabajo remoto las prioridades cambiaron, y el uso del mail se convirtió en la oportunidad perfecta para el lanzamiento de ataques de phishing, una práctica ideal para estos tiempos de pandemia.
Phishing o Suplantación de Identidad
La palabra Phishing, deriva del verbo inglés pescar. Este tipo de ataque consiste en el envío de correos electrónicos por parte de los ciberdelincuentes haciéndose pasar por empresas u organizaciones reales, con el único fin de obtener información de los usuarios. Este tipo de correos generalmente, simulan un envío genuino, incluyen el logo de la empresa y otro tipo de detalles que a los ojos del consumidor lo hacen parecer real. Con el fin de captar la atención e inmediatez del usuario y agarrarlo desprevenido, suelen contener advertencias de cierta urgencia en la respuesta, provocando que el usuario actúe según las instrucciones que allí figuran. Suelen además incluir un formulario para completar o bien un link a alguna página de internet inexistente, con el sólo objetivo de capturar las claves e información personal introducida. En el contexto de la pandemia, los temas vacuna y muertes por Covid 19 son las fachadas perfectas utilizadas por estos delincuentes para innumerables mails maliciosos que propagan gran cantidad de virus informáticos.
Los ataques por esta modalidad pueden tener un amplio rango de objetivos dependiendo de los intereses del atacante. Pueden estar dirigidos a un grupo de personas o bien puede dirigirse a una única persona en particular, en cuyo caso el atacante invertirá tiempo y mucho cuidado en diseñar el email, con el fin de poder convencer a quien lo recibe de la veracidad del mismo.
Existen gran cantidad de tipos de phishing entre los cuales podemos destacar los principales:
SPEAR PHISHING
Está dirigido a un grupo o tipo de personas específicas, tales como podrían ser los administradores de sistemas de una empresa. Mientras en un ataque de phishing tradicional, el objetivo cae aleatoriamente en la cuadrícula del atacante, en el caso de un ataque de spear phishing, muchas veces se realiza un trabajo previo de inteligencia sobre la víctima, a la cual se espía durante semanas o meses, con el único fin de aprender hábitos y preferencias. Luego, sobre la base de los datos cuidadosamente recopilados, se lanzan ataques de correo electrónico y phishing a medida. En este tipo de ataques, los ciberdelincuentes se hacen pasar por consumidores on-line, instituciones bancarias, familiares, conocidos o incluso partners. La mayoría de los correos electrónicos están diseñados de tal manera que incluso la dirección y el contenido del remitente parecen, a primera vista, engañosamente reales.
La naturaleza explosiva de los ataques de spear phishing está particularmente dirigida a una empresa en particular, organizaciones que se ven cada vez más afectadas por el espionaje industrial. En estos casos, los hackers profesionales seleccionan específicamente a un empleado dentro de dicha organización, donde el ataque es dirigido, individual y adaptado a la víctima.
WHALING
El whaling es un tipo de phishing mucho más dirigido, que apunta a engañar a personal jerárquico de las organizaciones o altos ejecutivos, son ataques pensados para los CEO, CFO o cualquier otra persona de importancia en la industria o una empresa concreta, de ahí que también se lo conozca con el nombre de CEO fraud.
A diferencia de las estafas comunes de phishing, que no cuentan con un objetivo específico, y de spear phishing, que tiene como objetivo personas en específico, el whaling lleva el ataque a un nivel superior, ya que no solo está dirigido a personas con altos cargos dentro de la empresa, sino que además lo hace de una forma en que parezca que las comunicaciones fraudulentas provienen también de una persona influyente o que tiene un cargo de nivel superior dentro de la otra supuesta organización. Este tipo de amenaza incorpora un elemento de ingeniería social adicional al ataque, ya que los empleados al recibirlo, sienten la obligación de responder a las solicitudes de una persona que consideran importante.
Un email de whaling se caracteriza por una apariencia de haber sido enviado por una persona con cargo superior, que muchas veces hace referencia a características personales obtenidas por el atacante de las redes sociales, como podrían ser fotos o comentarios que hagan referencia a la fiesta de fin de año de la empresa o a algún evento en particular organizado por la misma, utilizando ese hecho como canal de ingreso a la confianza de quien recibe el correo. Asimismo, también puede informar que la empresa va a ser demandada y que debe hacer clic en el enlace para obtener más información, enlace que lo llevará a una página donde se le pide que introduzca la información importante sobre su empresa como el número de identificación fiscal o de la cuenta bancaria.
Ejemplos de este tipo de ataques, han sufrido diversas empresas tales como Snapchat cuando en el año 2016 recibió un correo electrónico de whaling que parecía provenir de su director ejecutivo, en el que se solicitaba información sobre la nómina de empleados. Mattel fue víctima de un ataque de whaling luego de que un ejecutivo financiero de alto nivel recibiera un correo electrónico de un estafador que suplantaba al nuevo director ejecutivo y que solicitaba una transferencia de dinero, resultado del cual la empresa casi pierde nada más ni nada menos que USD 3 millones.
La primera estrategia para defenderse de los ataques de whaling es capacitar a las personas influyentes de la organización para que se mantengan atentos ante la posibilidad de ser víctimas de estos ataques. Deben hacerse siempre algunas preguntas claves: ¿esperaban recibir un correo electrónico, un archivo adjunto o un vínculo? ¿La solicitud tiene algo extraño? Deben corroborar si la dirección del mail que recibieron, o bien el formato del mismo, realmente coinciden con el nombre y formato de la empresa. Por otra parte, los ejecutivos deben tener especial cuidado cuando publiquen y compartan información en línea en redes sociales, como Facebook, Twitter y LinkedIn. Los cibercriminales pueden usar cualquier tipo de información personal, como fechas de cumpleaños, pasatiempos, vacaciones, cargos laborales, ascensos y relaciones, para confeccionar ataques más sofisticados. Una excelente manera de reducir el daño que pueden causar los correos falsificados es pedirle al departamento de TI que marque automáticamente para revisión todos los correos que provengan de ubicaciones externas, ya que generalmente, los ataques de whaling se basan en engañar a los empleados importantes para que piensen que los mensajes provienen del interior de la organización. Por ejemplo, una solicitud de transferencia de dinero enviada por un gerente de finanzas. Si se marcan los mensajes externos, es más fácil detectar aquellos que son falsos y a simple vista parecen legítimos, incluso para personas que no poseen mucha experiencia.
SMISHING
El smishing se trata de un ataque que utiliza mensajes de texto o servicio de mensajes cortos (SMS) para captar la atención del usuario, con el fin de sustraerle información personal. Un caso frecuente es el de recibir un SMS que pareciera ser del banco, donde se le informa al usuario que su cuenta se ha visto comprometida y que necesita responder inmediatamente, verificando su número de cuenta, claves, etc. Siguiendo esos breves pasos, ya se le entregó al delincuente el control de la cuenta bancaria.
Generalmente, los consumidores cuando utilizan el teléfono muestran menos recelo que en el uso de la computadora, en la falsa creencia de que sus smartphones son más seguros, pero la seguridad de los smartphones tiene limitaciones y no puede proteger directamente contra el smishing. Los mensajes de smishing, al igual que los otros tipos de ataques, tienen como objetivo robar el dinero del usuario o incluso también el de su empresa. Esto toma especial relevancia si tenemos en cuenta que actualmente los smartphones personales son cada vez más utilizados para desempeñar actividades laborales.
La buena noticia que presenta este tipo de amenaza consiste en la facilidad para protegerse de la misma; con tan sólo no hacer nada en absoluto se obtiene esa protección anhelada. El ataque sólo puede provocar daños si ingresas al enlace o bien respondes el mensaje. Posibles casos de este tipo de ataques, requieren estar atentos a los mensajes de texto recibidos como alertas de seguridad urgentes, los canjes de cupones, ofertas u oportunidades que requieren una actuación rápida como signos de advertencia de un intento de pirateo.
VISHING
El vishing consiste en el intento -a través de engaños- de obtención de la información de los usuarios pero a través de una llamada de voz. El clásico ataque de vishing implica que la persona que llama se hace pasar por Microsoft y le indica al usuario que tiene un virus en su ordenador, éste termina brindando los datos de su tarjeta crédito con el fin de obtener una versión mejor del software antivirus que tiene instalado en su equipo. De esa forma, el atacante tiene la información deseada y seguramente le haya instalado un malware en su equipo, el cual podría contener desde un troyano bancario hasta un bot. El troyano bancario vigila su actividad online para robarle más información, como la de su cuenta bancaria, incluida su contraseña.
PHISHING EN MOTOR DE BÚSQUEDA
El phishing en un motor de búsqueda, también llamado envenenamiento SEO o troyanos SEO, tiene lugar cuando los hackers trabajan para convertirse en lo más buscado en una búsqueda con Google u otros buscadores. Si consiguen que haga clic en su enlace, le llevarán al sitio web del hacker. Cuando interactúa con el mismo e introduce información sensible, ya tienen su información. Los sitios de los hackers pueden parecerse a cualquier tipo de sitio web, pero los principales candidatos son los bancos, PayPal, redes sociales o sitios de compra.
Ransomware
También denominado Malware de rescate, consiste en un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que a cambio de ello, exige el pago de un rescate para permitirles nuevamente el acceso, pago que actualmente se pide en criptomonedas o bien mediante tarjeta de crédito.
Existen tres tipos principales de ransomware, cuya gravedad oscila entre una molestia a consecuencias gravísimas.
SCAREWARE
Es su forma menos dañina; incluye programas de seguridad falsos y ofertas falsas de soporte técnico. Un ejemplo de esto podría ser un mensaje emergente que le informa al usuario que se ha detectado malware y que la única forma de librarse de él es pagar. Si no lo hace, seguramente continuará recibiendo mensajes emergentes, pero sus archivos están básicamente a salvo.
BLOQUEADORES DE PANTALLA
En este tipo de ataque la peligrosidad es media. Se trata de un ransomware que bloquea la pantalla del ordenador, impidiéndole al usuario el uso de la PC por completo. Al encender el ordenador aparece una ventana que ocupa toda la pantalla, a menudo acompañada de un emblema de aspecto oficial del FBI o del Departamento de Justicia de los Estados Unidos, que le indica que se han detectado actividades ilegales en su ordenador y que debe pagar una multa.
RANSOMWARE DE CIFRADO
Este es el caso más grave y de mayor peligrosidad. Consiste en el secuestro de archivos, los cuales cifra, exigiendo un pago para volver a descifrarlos y devolvérselos. La razón por la que este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, no hay ningún software de seguridad ni restauración del sistema capaz de devolvérselos, a menos que pague el rescate, acción con la cual no hay ninguna garantía de que los ciberdelincuentes le devuelvan los archivos.
La seguridad cibernética debemos verla y analizarla como un proceso, no se trata de una acción única o una sola estrategia de prevención sino que se trata de detectar, prevenir y reaccionar. El tema a tener en cuenta es que no es tan importante el número de ataques que se pueda sufrir, sino el nivel de sofisticación y de daño que los ciberdelincuentes pueden lograr mediante el uso de tecnologías avanzadas e inteligencia artificial. Esto significa que con menos ataques se logra un mayor daño.