No hay nada más atractivo en el mundo de la tecnología que un escándalo que involucre a Apple, el pirateo y fotos de famosos desnudos, o seguidamente el ataque corporativo sobre al menos 50 empresas energéticas noruegas. Pero es probable que el modo en que se produjeron estos ataques sea una práctica corriente; expertos en ciberseguridad han declarado que podría ser el resultado de un ejercicio de phishing, en el que correos electrónicos falsos de Apple o Google piden a la gente que confirme sus detalles para iniciar sesión permitiendo a los hackers un acceso directo a un sistema que, de no ser por esto, sería seguro.
“No importa lo profundas o elevadas que sean tus paredes si alguien abre la puerta y deja pasar al enemigo,” dicen los expertos de seguridad Rotem Iram y Omri Zaid. “No es tan sofisticado; cualquier crío en casa puede hacer un email falso y comenzar un phishing. Probablemente podría incluso cambiar el origen del email para que se vea como si viniera del CEO”.
Ingeniería social
Atacar el elemento humano de un sistema de ciberseguridad o manipular a la gente para realizar acciones o divulgar información confidencial es conocido en el oficio como “ingeniería social”. Un reciente informe de Verizon muestra que el 29% de las violaciones de seguridad son ataques de ingeniería social, y el phishing de correo electrónico es la forma más común. Y lo que es todavía más alarmante, alrededor del 80% de los receptores son propensos a hacer clic en los mensajes falsos, exponiéndose a sí mismos y a sus organizaciones al riesgo.
Igual que incitan a la gente a introducir su correo electrónico y contraseña, los emails phishing pueden solicitar a los destinatarios que hagan clic en enlaces o descargas que contienen malware. El ataque de ingeniería social es tan solo el primer paso; da a los hackers un punto de entrada a una organización. Una vez que tienen una posición fuerte, cuentan con total libertad para hacer casi lo que quieran en el sistema.
Esto podría ser el robo de detalles de tarjetas de crédito para venderlos en el mercado negro, como le ocurrió al minorista estadounidense Target, o la capacidad de trabajar de forma encubierta, recopilando información confidencial de una empresa durante años.
Si bien no se ha demostrado que los hackers que obtuvieron imágenes privadas del iCloud de Apple de las celebridades lo hicieran mediante phishing, o mediante cualquier otro método, la historia ha generado un ejercicio de phishing genuino. Los cibercriminales están aprovechando ahora el revuelo en torno a la seguridad de iCloud para enviar emails falsos que fingen ser de Apple pidiendo a la gente que cliquee en un enlace y confirme su ID y contraseña, los cuales los hackers roban a posteriori.
Pero con emails y webs con un aspecto tan real y los empleados descargando documentos como parte de sus trabajos, ¿cómo pueden protegerse las empresas y organizaciones frente a los ataques de ingeniería social? Enseñar a la gente los signos para detectar un correo electrónico falso y avivar su conciencia de que este tipo de estafas ocurren es el único paso realmente eficaz, porque son los seres humanos el eslabón más débil.
El autor de este artículo es Bruce Goslin, director general Ejecutivo de K2 Intelligence
from TICbeat http://ift.tt/1xUgLvE
