Cebo de phishing: Cuáles son las tácticas de ingeniería social impulsadas por IA que afectan a las pymes
Dor Eisner Forbes Councils Member
Dor Eisner Forbes Councils Member
Hay una razón por la que los precios de las herramientas de ataque de phishing como servicio están en auge en la web oscura. Los seres humanos somos propensos al engaño.
Tanto si tenemos prisa como si estamos distraídos, desprevenidos o erróneamente confiados, los hackers se aprovechan de nuestros errores de juicio para realizar campañas de phishing. Y funciona: más del 90% de los ciberataques comienzan con intentos de phishing.
Pero los ciberdelincuentes siguen trabajando duro para aumentar sus posibilidades de éxito, y con las ventajas de la tecnología de IA (Inteligencia Artificial) en constante avance, eso les resulta cada vez más fácil.
Hoy en día, cada vez son más los hackers que aprovechan las herramientas basadas en IA para automatizar y ampliar las tareas de reconocimiento, el escaneado de vulnerabilidades y las tácticas de ingeniería social con el fin de aprovecharse de empleados desprevenidos y extorsionar y desestabilizar al mayor número posible de pymes (pequeñas y medianas empresas) vulnerables.
Afortunadamente, hay una serie de buenas prácticas y recursos que las pequeñas y medianas empresas pueden utilizar para protegerse de las tácticas maliciosas de phishing.
Pero primero, analicemos por qué las herramientas de phishing son tan utilizadas hoy en día.
Las herramientas de phishing, ya sean basadas en inteligencia artificial o menos sofisticadas, atraen a los ciberdelincuentes por varias razones.
En primer lugar, son eficaces. En comparación con otras técnicas de pirateo que extraen por la fuerza datos personales o financieros del sistema de una organización, las técnicas de phishing engañan a las personas para que revelen ellas mismas información confidencial.
Los piratas informáticos han aprendido que es mucho más fácil burlar la psicología humana que los cortafuegos cada vez más avanzados y el cifrado de datos.
¿
En segundo lugar, el phishing es ampliamente aplicable. Independientemente de la industria o el grupo demográfico de la empresa objetivo, estos ataques son capaces de engañar a cualquier persona a lo largo de la cadena de valor de una empresa, desde empleados de nivel básico hasta ejecutivos de alto nivel.
Los piratas informáticos pueden simplemente lanzar una amplia red y enviar un gran volumen de correos electrónicos de phishing para aumentar sus posibilidades de éxito.
Debido a su versatilidad y a la escasez de recursos, los ataques de phishing también suelen ser baratos de ejecutar, lo que los convierte en una opción muy atractiva para los piratas informáticos en términos de retorno de la inversión.
Por último, existe una gran variedad de cebos en el arsenal del phishing y, por lo tanto, se pueden utilizar diferentes tácticas de phishing para adaptarse a los cambios en las herramientas de detección automática y al comportamiento de los usuarios.
En determinadas circunstancias, por ejemplo, un hacker puede encontrar ventajoso aprovechar el spear phishing, una sofisticada táctica que se dirige a personas u organizaciones concretas mediante el envío de correos electrónicos aparentemente de un remitente de confianza para engañar al receptor y conseguir que revele información sensible.
A continuación, las malas noticias: la IA está haciendo que el phishing sea mucho peor. De hecho, se ha informado de que los correos electrónicos de phishing generados por IA tienen una tasa de estreno más alta que los elaborados por humanos.
¿
Tiene sentido, dada la enorme cantidad de información pública que la IA puede analizar para generar el esquema más convincente posible. Perfiles de redes sociales, columnas de noticias, comunicados de prensa -el tipo de datos públicos que revelan intereses, cargos o conexiones de red- pueden ser utilizados por la IA para perfeccionar los ataques de ingeniería social que tienen más probabilidades de éxito.
Además, la IA puede utilizarse para crear vídeos, imágenes o grabaciones de audio falsos y convincentes que pueden imitar la voz o la imagen de la persona a la que suplantan con una precisión aterradora, induciendo a la víctima a divulgar información confidencial o a transferir fondos a cuentas fraudulentas.
Y dado que la IA puede utilizarse para fabricar aún más engaños a mayor escala, los piratas informáticos pueden invertir menos tiempo en llevar a cabo campañas de phishing a gran escala de lo que lo harían normalmente, al tiempo que reciben pagos aún mayores.
Afortunadamente, las pymes también pueden utilizar la IA para combatir el fuego con fuego. Mientras los ciberdelincuentes aprovechan la IA para acelerar sus planes maliciosos, los profesionales de la seguridad también la utilizan para reforzar los mecanismos de defensa y las capacidades de detección.
Como resultado, se prevé que el valor de mercado de la ciberseguridad potenciada por IA aumente a más de 46.000 millones de dólares en 2027, un paso significativo desde su valoración de 10.000 millones de dólares en 2020.
Los ciberdelincuentes con motivaciones económicas encuentran en las pymes objetivos especialmente fáciles para el phishing porque suelen carecer de suficiente protección de ciberseguridad y de personal capacitado.
¿
En muchos casos, los empleados de las empresas más pequeñas no informan de los ciberataques que descubren a su proveedor de servicios gestionados (MSP) o al personal de ciberseguridad.
Aunque desde luego merece la pena dedicar tiempo a formar a los empleados para que apliquen el sentido común a la hora de verificar los remitentes de los mensajes de correo electrónico y SMS, así como los hipervínculos en los que se les insta a hacer clic, las pymes harían mejor en aprovechar los paquetes tecnológicos de seguridad adecuados que detectan y frustran automáticamente el phishing sofisticado, y no dejarlo al azar de la diligencia de los empleados.
Los sistemas de protección del correo electrónico, como las soluciones antispam y antimalware, serían un buen comienzo para identificar y bloquear los mensajes de phishing antes de que lleguen a las bandejas de entrada de los usuarios.
¿
Además, las pymes pueden utilizar la IA para ejecutar simulaciones de phishing con el fin de formar a los empleados sobre cómo detectar los indicadores clave y establecer un plan de respuesta a incidentes para responder adecuadamente en caso de que se produzca un correo electrónico de phishing.
También es importante llevar a cabo evaluaciones de seguridad periódicas, especialmente las que incluyen análisis de vulnerabilidad de dispositivos, usuarios y aplicaciones. Los escaneos de riesgos externos pueden ayudar a hurgar en el propio sistema para descubrir vulnerabilidades desconocidas.
Las pymes también deberían plantearse implantar la autenticación multifactor (MFA) para acceder a sistemas críticos, cuentas y su conjunto de aplicaciones. Esto añade una capa extra de seguridad al exigir a los usuarios una verificación adicional.
Las empresas que no dispongan de los conocimientos necesarios para implantar y mantener por sí mismas estas medidas cruciales deberían plantearse trabajar con proveedores de servicios gestionados (MSP) u otros proveedores informáticos externos.
Estos recursos pueden gestionar alertas en tiempo real, llevar a cabo una detección y formación continuas, y evaluar y proteger todas las amenazas a medida que surgen, manteniendo a las empresas centradas en lo que mejor saben hacer: servir a sus clientes.
A medida que la IA sigue alimentando campañas de phishing más eficaces, las pymes tendrán que reforzar su postura de ciberseguridad si esperan mantener a salvo sus activos y los de sus clientes. Si siguen estos consejos, podrán conseguirlo.