1 73 Table of Contents 75 108

Seguritecnia 468

74 SEGURITECNIA Octubre 2019 Seguridad en Latinoamérica tima vaya a un sitio web y actúe de in- mediato o tendrá que afrontar alguna consecuencia. Si un usuario pica el anzuelo y hace ‘clic’ en el enlace, se le envía a un si- tio web que es una imitación del legí- timo. A partir de aquí, se le pide que se registre con sus credenciales de nom- bre de usuario y contraseña. Si es lo su- ficientemente ingenuo y lo hace, la in- formación de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas banca- rias y vender información personal en el mercado negro. A diferencia de otros tipos de ame- nazas de Internet, el phishing no re- quiere conocimientos técnicos es- pecialmente sofisticados. De hecho, según Adam Kujawa, director de Ma- lwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efec- tiva. Ello se debe a que ataca el orde- nador más vulnerable y potente del planeta: la mente humana”. Los autores del phishing no tratan de explotar una vulnerabilidad técnica en el sistema operativo de un dispositivo, sino que utilizan ingeniería social. Nin- gún sistema operativo está comple- tamente a salvo del phishing , con in- dependencia de lo sólida que sea su seguridad. De hecho, los atacantes a menudo recurren al phishing porque no pueden encontrar ninguna vulnera- bilidad técnica. ¿Por qué perder el tiempo tratando de burlar capas de seguridad cuando pueden engañar a alguien para que les entregue la llave? En la mayoría de los casos, el eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico. Amenaza creciente En la conferencia RSA celebrada el pa- sado mes de marzo en San Francisco, Google mencionó que la plataforma de Gmail ve alrededor de 100 millones de correos maliciosos al día. Por lo que, actualmente, el phishing sigue siendo prolífico y efectivo, volviéndose una amenaza de índole global en un esce- nario en el que los ciberdelincuentes usan IP de diferentes países y los obje- tivos no tienen límite, ya que pueden atacar a organizaciones de América, Europa, el Medio Oriente, etc. Según la compañía de ciberseguri- dad Cyren, las 10 firmas más suplanta- das en EEUU por los ciberdelincuentes, hasta octubre de 2018, eran HM Re- venue & Customs, Apple, Amazon, Pa- yPal, HSBC, Google, Uber, eBay, Barclays y Nationwide. Para aquellos que lo desconozcan, estos son los componentes que con- forman una campaña de phishing : Sitio web objetivo. Infraestructura del servicio de co- rreos. Usuarios objetivo. Formatos de correos electrónicos. Sitio web de exfiltración de creden- ciales. Manejo del personal operativo. ‘Spear phishing’ Mientras la mayoría de las campañas de phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. El spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado E l mundo de los negocios es cada vez más dinámico y di- verso. Hoy en día, la presencia en Internet es esencial para que todas las empresas ofrezcan sus productos y servicios en cada sector de mercado e industria. A la par de este dinamismo también se van creando y reafirmando con más fuerza los riesgos hacia el robo de in- formación, en especial la información de índole personal. Una de las añe- jas técnicas, que aunque parezca ya muy vieja sigue muy actual y con una fuerza tremenda, es el phishing . Se trata de una técnica de ingeniería so- cial muy conocida, la cual se ha diver- sificado y mejorado en técnicas y es- trategias de ataque, logrando evadir muchas veces a las herramientas de protección de las compañías. ¿Qué es el ‘phishing’? Según Malwarebytes Labs, el phishing es el delito de engañar a las perso- nas para que compartan información confidencial, como contraseñas y nú- meros de tarjetas de crédito. Como ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una táctica de phishing que es la más común. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita, o suplanta su iden- tidad, a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gu- bernamental. Cuando la víctima abre el correo electrónico, o el mensaje de texto, encuentra un mensaje pen- sado para asustarle con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víc- Fernando Luna Zacate / Director de SEI Consulting México ‘Phishing’: la amenaza constante

RkJQdWJsaXNoZXIy MzA3NDY=