Con aproximadamente 3.4 mil millones de solicitudes maliciosas enviadas por correo electrónico todos los días, los ataques de phishing son la forma más común de ciberataque en el mundo. Aunque muchas empresas creen que los intentos de phishing son fáciles de detectar y que sus empleados nunca caerían en una solicitud sospechosa, la realidad es que los atacantes de phishing están utilizando métodos más sofisticados que nunca. Estos incluyen mensajes y correos electrónicos impulsados por inteligencia artificial para hacerlos parecer aún más realistas.
Riesgos asociados con el phishing
Evolución del phishing
Desde finales de la década de 1990, cuando el phishing ganó notoriedad, los ciberdelincuentes han evolucionado en sus tácticas. Anteriormente, se dirigían a individuos por correo electrónico, haciéndose pasar por empresas confiables y solicitando información sensible. Sin embargo, los atacantes de phishing de hoy tienen objetivos más grandes: los vastos conjuntos de datos sensibles de los clientes que poseen las empresas.
Ataques de fatiga MFA
Una modalidad de phishing en aumento es el ataque de fatiga MFA, (también conocido como bombardeo MFA). En este tipo de ataque, los actores de amenazas obtienen las credenciales de una víctima y desencadenan múltiples solicitudes de MFA. Si la víctima se siente abrumada por las notificaciones, puede aprobar la solicitud, creyendo que la activó accidentalmente.
En el ataque sufrido por Cisco en 2022 los atacantes obtuvieron el control de una cuenta personal de Google de uno de sus empleados utilizando phishing de voz y fatiga MFA para obtener acceso a su VPN. Los atacantes activaron solicitudes del MFA y luego llamaron a la víctima por teléfono haciéndose pasar por una organización de confianza. Por teléfono, convencieron al empleado para que aceptara una solicitud de MFA, obteniendo así acceso a los sistemas internos de Cisco.
Combatiendo el phishing a través de la tecnología y la capacitación
Para combatir el phishing, es esencial que las empresas adopten un enfoque holístico que alinee a las personas, los procesos y la tecnología. Esto incluye capacitación continua en conciencia de seguridad, prácticas de MFA resistentes al phishing, políticas de contraseñas estrictas, evaluaciones de riesgo de phishing y la implementación de un marco de confianza cero.
Proteger a su empresa de un ataque de phishing depende de su capacidad para crear conciencia, promover comportamientos adecuados e implementar tecnologías seguras.
Las defensas que neutralizan un intento de phishing hoy, podrían no ser efectivas mañana, subrayando la importancia de contar con protecciones multicapa. No es recomendable que una empresa tenga solo una única capa de ciberseguridad para posibles vulnerabilidades, especialmente cuando un vector de ataque incluye correo electrónico dirigido a errores humanos. Hay que tener en cuenta que siempre es posible comprometer un sistema, incluso con seguridad en capas, pero múltiples estrategias reducen los riesgos cibernéticos a un porcentaje más bajo.
#Ciberseguridad #Phishing #SeguridadInformatica #ProteccionDeDatos #Tecnologia #Newsletter #Ciberamenazas #SeguridadEnLinea #PrevencionDePhishing #EmojisParaLaSeguridadEnLinea 📧🤖🔐
Rodrigo Lafuente S. Myriam Pérez Escalante Pedro Chacón Podunavac Francisco Rodriguez Poblete Rodrigo Benavides Flores Luis Vallenilla Patricia Guttman Simantob Richard Peña Catalina Lafuente Barros Barbara Covarrubias