Pasar por alto las buenas prácticas de ciberseguridad aumenta la susceptibilidad a un ataque de phishing

marzo 20, 2023

Pasar por alto las buenas prácticas de ciberseguridad aumenta la susceptibilidad a un ataque de phishing

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

En la actualidad, hay tantos intentos de phishing, que es probable que en algún momento, alguien de su organización caiga víctima de este tipo de estafa.

Una vez que los ciberdelincuentes reconozcan a las organizaciones habitualmente vulnerables, continuarán centrándose en ellas y el ciclo de fraudes seguirá.

Pasar por alto las buenas prácticas de ciberseguridad aumenta en gran medida la susceptibilidad a un ataque. Pero incluso si está siguiendo un buen protocolo, ha ofrecido capacitación a los empleados, le recuerda repetidamente al personal que verifique las comunicaciones sospechosas y se mantiene al tanto de las últimas campañas para engañar a los incautos, su organización es y siempre será vulnerable.

¿Cuáles son los puntos en los que debe enfocar su organización para evitar ser víctima del phishing?

Los ciberdelincuentes están desarrollando continuamente nuevas tácticas para engañar a las personas para que entreguen información confidencial y, como resultado, los ataques de phishing se están volviendo más sofisticados.

Muchas soluciones antiphishing utilizan reglas estáticas para detectar ataques de phishing, que los atacantes pueden eludir fácilmente utilizando técnicas más avanzadas. Además, con la introducción de ChatGPT, habrá una proliferación de correos electrónicos de phishing que tienen una gramática perfecta, lo que dificulta aún más la identificación de un correo electrónico de phishing enviado por un ciberdelincuente.

Con ChatGPT y versiones de código abierto disponibles para los perpetradores, la información robada de una empresa se convierte en un elemento de alto valor para los estafadores, ya que la Inteligencia Artificial puede aprender en tiempo real qué funciona y qué no, lo que aumenta las posibilidades de que un ataque sea exitoso.

Muchas organizaciones están tratando de resolver el problema del phishing únicamente con tecnología. Estas empresas están comprando todas las herramientas más recientes para detectar correos electrónicos sospechosos y brindan a los empleados una forma de informar y luego bloquear esos correos electrónicos. Pero aún cuando esto puede ser de utilidad, los ciberdelincuentes siempre van a ser más sofisticados.

Algunas organizaciones con estrategias fallidas contra el phishing no adoptan una estrategia integral de defensa en profundidad.

El problema de no implementar una estrategia integral de defensa en profundidad y confiar únicamente en un programa antiphishing, es que solo se necesita un ataque exitoso para derribar todo el sistema. Confiar en un enfoque de defensa basado en el correo electrónico o depender en gran medida de la capacitación de los usuarios es inherentemente defectuoso, ya que las personas son propensas a cometer errores y solo se necesita uno para que un atacante tenga éxito.

La mejor manera de defenderse de los ataques de phishing es a través de un enfoque de defensa en capas, lo cual incluye tener un buen sistema de detección y respuesta de punto final en cada estación de trabajo; un sólido programa de gestión de vulnerabilidades, que permita la autenticación de múltiples factores para cada usuario, y cuenta de administrador, así como la implementación de la segmentación en la LAN/WAN para limitar la propagación de un sistema infectado.

Si bien capacitar a los empleados para que no hagan clic en enlaces o abran archivos adjuntos en correos electrónicos de remitentes desconocidos es fundamental, los empleadores también deben educar a los trabajadores sobre cómo reconocer correos electrónicos fraudulentos.

Una estrategia antiphishing exitosa debe comenzar por concientizar a los empleados sobre cómo identificar un correo electrónico de phishing y comprender cómo denunciarlo. Este enfoque es un cambio de la estrategia común de “no hacer clic” utilizada por muchas empresas. Lograr una tasa de cero clics es un objetivo poco práctico y poco realista. En cambio, enseñar a los empleados cómo denunciar correos electrónicos sospechosos permite que los equipos de seguridad evalúen rápidamente la amenaza potencial y mitiguen los efectos. Y las organizaciones pueden integrar herramientas en sus plataformas de correo electrónico para facilitar a los trabajadores la denuncia de correos electrónicos sospechosos.

De igual manera, si una empresa tiene un programa y una política de capacitación sólidos, es posible que no sea efectivo si no hay consecuencias para los empleados que violan la política. Por ejemplo, si un empleado es víctima de un correo electrónico de phishing y no lo denuncia, debería haber consecuencias para fomentar un mejor comportamiento en el futuro.

Cabe señalar que los programas antiphishing a menudo fallan porque las personas son falibles. Las personas cometen errores a pesar de la capacitación y sus mejores esfuerzos. Las personas también son emocionales y, a menudo, tienen una reacción visceral a los correos electrónicos de phishing que crean una sensación de urgencia o necesidad. Estas circunstancias no cambiarán. Y los correos electrónicos de phishing continuarán, al menos en el futuro previsible.

Para más información, visite: https://www.silikn.com/