top of page

Phishing Crime as a Services

Foto del escritor: Team InntesecTeam Inntesec

Phishing Crime as a Services

El Phishing se ha convertido en una verdadera fuente de ingresos para los ciberdelincuentes a través del Crimen como Servicio (Crime as a Services). Los recientes ataques a entidades públicas y privadas no solo han brindado a los atacantes ingresos por estafas, violaciones de datos (data breach) y secuestro de información (ransomware), sino que también han llamado la atención de otros ciberdelincuentes, lo que hace de este ilícito un campo donde todos quieren participar.


Una de las preguntas que nace a raíz de esta nueva fuente de ingreso ilícitas es; ¿si fueras un ciberdelincuente en que te fijarías en tus víctimas?, buscarías víctimas que cumplan con algunos criterios tales como:


  1. Que sean relativamente vulnerables al ataque, desconocimiento total o parcial.

  2. Cuentas de privilegios con perfil alto (particularmente en el caso de Ransomware).

  3. Tener una gran cantidad de datos de alto valor para robar y/o pedir en rescate.

  4. Realizar medianas o grandes transacciones financieras.


Las entidades públicas y privadas han sido víctimas de innumerables ataques en los últimos años. Esto se debe principalmente, porque cumplen con todos los criterios antes mencionados y necesarios que busca el ciberdelincuente para realizar el ataque.


Son Vulnerables al Ataque

No existe una estrategia de ciberseguridad y de respuesta a incidentes lo suficientemente clara, donde, desde el directorio, gerencias y colaboradores la conozcan y estén comprometidos. Existen verdaderos silos en las distintas distintas áreas y lucha de poderes de quien tiene mayor conocimiento y autoridad, evitando que la gerencia de seguridad tenga la capacidad de garantizar de manera centralizada y así poder implementar las medidas de seguridad, y este es un blanco que usan los ciberdelincuentes.


Gran Cantidad de Datos

Las entidades públicas y privadas manejan gran cantidad de datos y entre ellas las comparten sin consentimiento de los usuarios. Una mala experiencia al contratar un seguro automotriz en uno de los banco más grandes de Chile fue que en el mismo día que firme el contrato digitalmente me llamaron de otra empresa ofreciéndome un producto y servicio para mi vehículo, cuando interrogué a la persona preguntando como habían obtenido mi información, señalaron que el banco les entregó esta información ya que estaban relacionadas. Hay varios casos que podemos mencionar, a quien no le ha pasado que cuando contratamos un dominio en el NIC luego nos bombardean de correos ofreciéndonos servicios, cómo se filtró esta información desde el NIC, bueno, esto es fuga de información desde el interior de estas entidades. Hay demasiada información personal y financiera donde estas entidades no se hacen responsables de los data breach, y este es un blanco que usan los ciberdelincuentes.


Transacciones de Alto Valor

El negocio digital, el eCommerce, el pago vía criptomonedas, etc. es la evolución de cómo se están haciendo los negocios, esto mueve millones de dólares cada año. Por lo tanto, el secuestro de una sola transacción entre, un cliente y uno de sus proveedores puede ser potencialmente un objetivo de los ciberdelincuentes que, al suplantar a un gerente de finanzas, general o quien tenga la autorización de firmas de cualquiera de las partes puede provocar un fraude provocando un daño colosal. Proveedores que no poseen políticas de seguridad adecuadas ni medidas mitigadoras pueden ser víctimas de suplantación de identidad logrando dar la entrada al ciberdelincuente en el cliente, y este es un blanco que usan los ciberdelincuentes.


Según Inntesec, las entidades públicas y privadas deben concentrar sus esfuerzos en ser menos vulnerables a los ataques. Esto se logra estableciendo medidas de seguridad consistentes en toda la organización. El plan de remediación a través de parches de los endpoint, servidores y aplicaciones es un buen comienzo. Proteger a los usuarios de ataques avanzados de malware, phishing, spoofing en el correo electrónico y escaneo web es otra medida crítica que se deben implementar de manera urgente. Pero el eslabón más débil sigue siendo el usuario, es por ello que la implementación de un entrenamiento continuo de concienciación sobre la seguridad (Security Awareness) hará que los usuarios comprendan la necesidad de estar atentos a las ciberamenazas y a la ingeniería social.

En casi todas las noticias recientes sobre entidades públicas y privadas que fueron víctimas de un ataque, la fuente del ataque fue un usuario involuntario que fue víctima de una estafa de phishing. El entrenamiento de concienciación sobre la seguridad trabaja para eliminar al usuario como un vector de ataque, apuntalando la seguridad de una organización y protegiéndola de cualquier daño.


En Inntesec recomendamos Security Awareness, un Programa en tres fases, y con una plataforma eLearning podemos simular ataques y entrenar a los usuarios en temas de concientización sobre seguridad y suplantación de identidad, es una solución efectiva y de bajo costo. Servicio de Charlas de Concientización de Seguridad + Programa eLearning de Seguridad + Plataforma Simulación y Concientización USD 10 (user/mes).

Fuente: Inntesec, Knowbe4

4 visualizaciones0 comentarios

Entradas recientes

Ver todo

Comments


bottom of page