- Demasiado bueno para ser cierto: los cibercriminales usan IA para ofrecer trabajos falsos y robar sus datos
- ¿Por qué Google Pixel es el teléfono favorito de los narcotraficantes?
La técnica maliciosa de ‘Phishing’ Es tan antiguo como el amanecer de Internet. Sin embargo, en Perú sigue siendo el ataque favorito de los cibercriminales para recubrir a sus víctimas. Según la compañía Ciberseguridad ESET ocupa el primer lugar con el 34% de las detecciones totales. Y lo que es peor: dos de cada tres campañas con esta técnica incluyen archivos maliciosos, lo que mejora su efectividad y alcance. ¿Se puede preguntar entonces por qué seguimos cayendo antes de este viejo truco?
El ‘phishing‘ Es un antiguo tipo de ataque cibernético que utiliza medios como correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web falsos para que sus víctimas caigan y haga que compartan datos confidenciales, descargue »malware ‘ o están expuestos a ciberdelincuentes.
MIRAR: El hacker chino fue arrestado en Italia: está acusado de espiar los trabajos en vacunas contra Covid-19
Es muy probable que haya presentado un correo electrónico informándole que un producto suyo ha sido retenido en la aduana o que ha ganado algún premio jugoso. La intención de los delincuentes es lograr que proporcionen datos confidenciales, como información personal, números de cuenta o tarjetas.
En el marco de Días de seguridad de ESET, El comercio pudo hablar con varios especialistas en seguridad informática sobre el crecimiento sostenido de malware diseñado para el robo de datos en Perú.
El comercio de Mario Miucci, investigador de seguridad en Eset Latin America.
/Desde el spam hasta el engaño sofisticado: cómo el ‘phishing ha mutado
Aunque a primera vista, pueden parecer muy tontos, la verdad es que el nivel de profesionalización de este tipo de ataque ha sido tremendo. Que están detrás de ellos muchas veces lo hacen Estudios rigurosos de sus víctimas —Bear todo cuando las grandes empresas atacan, y, en más de una ocasión, han logrado engañar a las empresas del nivel Uber, Sony, Facebook, Telefónica … entre otros. La lista es larga.
«Los cibercankers hacen un Trabajo de inteligencia previoPerfilan a la víctima y diseñan mensajes muy creíbles, con un objetivo claro: que la persona haga clic o ejecute una acción específica «comenta a Comercio Mario Miucci, investigador de seguridad en Eset Latin America.
Miucci señala que el ‘phishing‘ Está en constante evolución. Busca manipular emocionalmente al usuario para inducir una acción: haga clic en un enlace o descargue un archivo. Y esta estructura se adapta.
«Cuando entra la emoción, va la razón». Esta frase conocida también se aplica al mundo de la ciberseguridad. Cuando recibimos un PhishingPor lo general, nos emocionamos, ya sea por una oferta atractiva o por temor a una supuesta amenaza. Esa alteración emocional nubla el juicio y, a veces, logra su misión que nos hace caer. «Y seguimos cayendo porque los atacantes renovan sus estrategias constantemente»dice el experto.
Hoy el enfoque de lucha cibernética no solo está en los usuarios finales, sino también en el Organizaciones. Y la profesionalización del delito cibernético ha alcanzado niveles insospechados hace unos años.
“En el caso de los grupos APT (amenazas persistentes avanzadas), hablamos de organizaciones penales con presupuestos similares a los de una compañía real. Incluso tienen estructuras internas con departamentos de recursos humanos, reclutadores, contabilidad, etc.«, El especialista en seguridad expresa a este periódico.
«Son ataques sofisticados, con inteligencia previa, objetivos estratégicos y un nivel técnico muy alto. Es diferente del caso de ciberdurabos que atacan a los usuarios finales, donde el Los ataques son masivos, más simples y más fáciles de detectar«agrega.
En una entrevista con ComercioAndré Goujón, estratega de ciberseguridad en Chile, recuerda los primeros años de milenio como «El tiempo romántico de malware». Y al compararlo con el presente, expresa:
“Eran códigos maliciosos diseñados para causar daños: formatearon el equipo, corrompieron el sistema operativo, los archivos infectados. Pero no buscaron dinero. No hubo ingresos económicos«.
Incluso señala que había virus diseñados simplemente para demostrar experiencia técnica. «El ‘malware’ polimórfico, por ejemplo, cambió cada vez que infectaba un archivo. Era una forma de decir: ‘Mira lo que puedo hacer’. Era una especie de carta de presentación para aquellos que sabían cómo programar bien»agrega.
El negocio de robo de información
Después del ‘phishing’, el ‘Infadores‘Ocupan el segundo en detecciones maliciosas, con el 16%. Estos son códigos maliciosos diseñados para robar información. Hay varios tipos; Quizás el más conocido, aunque con su propia naturaleza, es el ‘ransomware‘, que bloquea los archivos y exige un rescate. Hoy, su enfoque ha pasado de encriptar datos a extorsionar y exfiltrarse la información.
También encontramos amenazas como el ‘FilDoCoders‘el ‘Banqueros‘ (o troyanos del banco) y ‘malware‘ Orientado al universo móvil. En el caso de Perú, por ejemplo, ‘Kaleidoscope se destaca‘Un ‘malware’ que estimula la descarga de aplicaciones maliciosas. Es decir, los 3 principales amenazas estarían compuestos de: ‘Phishing‘‘Infentes‘ y ‘FilDoDers‘.
El comercio de Mario Miucci, investigador de seguridad en Eset Latin America.
/Mucci comenta que otra técnica frecuente entre los atacantes es el uso de Herramientas legítimas Para automatizar tareas dentro de una estrategia maliciosa. Muchas veces, lo que detectamos en las campañas de phishing‘ No es ‘malware‘ En sí mismo, pero codifica piezas que se conectan con servidores de comando y control para descargar malware después.
«Se utilizan para realizar actividades maliciosas porque estas actividades son legítimas para los sistemas. Es una forma de evadir las defensas o no generar sospechas»explica a este periódico el investigador de ESET. «En lugar de enviar un ‘malware‘, envíe un código desarrollado en ‘Powershell‘eso Para el sistema será legítimo. Es decir, es una especie de camuflaje «.
«Cyber -Stake puede enviar una pieza ‘Powershell‘, Y cuando el usuario lo ejecuta, esa pieza se conecta a un servidor X para descargar el código malicioso. Por lo tanto, una herramienta legítima termina ejecutando una acción maliciosa ”termina.
Pero los atacantes no solo aprovechan las herramientas legítimas, sino que también manipulan elementos visuales en los que generalmente confiamos, como «»Captchas‘. Según Tony Anscombe, principal evangelista de seguridad de Eset Global, esto responde a una evolución natural del ‘phishing‘: Si los usuarios comienzan a detectar mejor los correos electrónicos engañosos, los atacantes deben buscar nuevas formas de convencerlos de que ejecute una acción.
Tony Anscombe, principal evangelista de seguridad de Eset Global.
/«Muchos usuarios confían en los Captchas porque los asocian con una medida de seguridad. Pero los cibercriminales aprovechan esa confianza. Simulan ‘Captchas’ FALSO Que, después de un clic aparentemente inofensivo, inducen al usuario a ejecutar acciones que terminan descargando ‘malware’ «, El experto explica.
Esta técnica: aún más utilizada en Campañas como ‘ClickFix‘, Detectado en Perú: se basa en la ingeniería social visual: «A medida que confiamos en aquellas cajas que nos piden que verifiquemos si somos humanos, el atacante solo necesita preguntarnos un paso adicional. Y muchos continuarán sin sospechar».
Cuando cumplir con la ley no es suficiente
Tony Anscombe, principal evangelista de seguridad de Eset Global; Mario Micucci, Investigación de seguridad de Eset Latina América; André Goujon, estratega de ciberseguridad en Chile, y Jorge Zeballos, gerente general de Eset Perún the East Security Days.
/Más allá de la evolución técnica de las amenazas, hay otro aspecto fundamental: el marco legal de cada país y la capacidad de la respuesta de las empresas. En el caso peruano, el Ley de protección de datos personales Establece directrices sobre cómo deberían ser los datos confidenciales de los ciudadanos. Sin embargo, cumplir con la ley no es suficiente. Las regulaciones generalmente se centran en aspectos específicos, como la protección de la información personal, pero No contemplan todos los riesgos que una organización puede enfrentar en términos de ciberseguridad.
Por lo tanto, Anscombe recomienda adoptar un enfoque híbrido: combinar el cumplimiento regulatorio con la implementación de ‘marcos‘ Técnicos de ciberseguridad. Las empresas deben asumir que el delito cibernético no es solo un problema técnico, sino un riesgo financiero y estratégico. Y actuar en consecuencia. Tener un protocolo de respuesta a incidentes, auditar sus sistemas, capacitar al personal y tomar decisiones de la alta gerencia puede marcar la diferencia entre contener un ataque o estar expuesto a millones.
