1 27 Table of Contents 29 124

Segurilatam 011

28 Segundo cuatrimestre 2019 artículo técnico Ciberseguridad E l mundo de los negocios es cada vez más dinámico y di- verso. Hoy en día, la presencia en Internet es esencial para que todas las empresas ofrezcan sus productos y servicios en cada sector de mercado e industria. A la par de este dinamismo también se van creando y reafirmando con más fuerza los riesgos hacia el robo de infor- mación, en especial la información de índole personal. Una de las añejas téc- nicas, que aunque parezca ya muy vieja sigue muy actual y con una fuerza tre- menda, es el phishing . Se trata de una técnica de ingeniería social muy cono- cida, la cual se ha diversificado y mejo- rado en técnicas y estrategias de ata- que, logrando evadir muchas veces a las herramientas de protección de las compañías. ¿Qué es el ‘phishing’? Según Malwarebytes Labs, el phishing es el delito de engañar a las personas para que compar tan información confidencial como contraseñas y números de tarjetas de crédito. Como ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una táctica de phishing que es la más común. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita, o suplanta su identidad, a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. Cuando la víctima abre el correo electrónico, o el mensaje de texto, encuentra un mensaje pensado para asustarle con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia. Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias y vender información personal en el mercado negro. A diferencia de otros tipos de amenazas de Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. De hecho, según Adam Kujawa, director de Malwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. Ello se debe a que ataca el ordenador más vulnerable y potente del planeta: la mente humana”. Los autores del phishing no tratan de explotar una vulner abilidad técnica en el sistema operativo de un dispositivo, sino que utilizan ingeniería social. Ningún sistema operativo está completamente a salvo del phishing , con independencia de lo sólida que sea su seguridad. De hecho, los atacantes a menudo recurren al phishing porque no pueden encont r a r ninguna vulnerabilidad técnica. ¿Por qué perder el tiempo tratando de burlar capas de seguridad cuando pueden engañar a alguien para que les entregue la llave? En la mayoría de los casos, el eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico. Amenaza creciente En la conferencia RSA celebrada el pasado mes de marzo en San Francisco, Google mencionó que la plataforma de Gmail ve alrededor de 100 millones de correos maliciosos al día. Por lo que, actualmente, el phishing sigue siendo prolífico y efectivo, volviéndose una amenaza de índole global en un escenario en el que los ciberdelincuentes usan IP de diferentes países y los objetivos no tienen límite, ya que pueden atacar a organizaciones de América, Europa, el Medio Oriente, etc. Según la compañía de ciberseguri- dad Cyren, las 10 firmas más suplanta- das en EEUU por los ciberdelincuentes, hasta octubre de 2018, eran HM Reve- nue & Customs, Apple, Amazon, PayPal, HSBC, Google, Uber, eBay, Barclays y Na- tionwide. Para aquellos que lo desconozcan, estos son los componentes que conforman una campaña de phishing : Sitio web objetivo. Infraestructura del servicio de co- rreos. Usuarios objetivo. Formatos de correos electrónicos. Sitio web de exfiltración de creden- ciales. Manejo del personal operativo. ‘Spear phishing’ Mientras la mayoría de las campañas de phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. El spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado Fernando Luna Zacate Director de SEI Consulting México ‘Phishing’: la amenaza constante

RkJQdWJsaXNoZXIy MzA3NDY=