Durante los últimos meses, el teletrabajo ha sido una modalidad fundamental para resguardar la salud de las personas debido a la creciente amenaza del Covid-19, sin embargo, esto ha generado un escenario ideal para los ciberdelincuentes quienes han utilizado estas circunstancias a su favor. Según la empresa Kaspersky, fueron detectados más de 300 dominios de phishing relacionados a la pandemia y otros 35 sitios han sido utilizados para propagar malware sólo entre el 1 de febrero y la primera quincena de marzo.
Si bien muchas empresas se han preocupado por crear un entorno seguro para realizar home office, en un contexto de crisis como el actual, las personas son más susceptibles a ser manipuladas y caer en engaños dada la alta necesidad de información sobre lo que está aconteciendo y el aislamiento social que impide el contacto directo para resolver dudas o inquietudes. De hecho, la empresa Google señaló que en una semana hubo alrededor de 18 millones de correos electrónicos diarios de malware y phishing relacionados con COVID-19, lo cual se suma a los más de 240 millones de mensajes de spam diarios por el mismo motivo.
En este sentido, durante la actual crisis sanitaria las personas están vulnerables no sólo ante un eventual contagio del Coronavirus, sino que también ante ciberataques donde los usuarios maliciosos utilizan la ingeniería social como una de las principales armas para realizar una estafa o robo de datos. Un simple clic puede ser la puerta de entrada para un atacante, ya sea a través de un email, un mensaje de texto, un archivo o una página Web, pero, para que esto sea posible, debe convencer a los usuarios de que realicen una determinada acción sin mayores sospechas.
Para esto, el ciberdelincuente recopilará toda la información que considere necesaria sobre su futura víctima a través de Internet, obteniendo datos como la ubicación, número de celular, empresa en la que trabaja y correo electrónico, por ejemplo, con el fin de conocer el ambiente en el que ésta se desenvuelve y así aprovechar los datos para manipular psicológicamente a las personas por medio de mensajes que parecen legítimos y de confianza, pero que sólo son una fachada para para lograr su objetivo. Por este motivo resulta crucial la conciencia y responsabilidad en cuanto a qué publicamos en nuestras redes sociales, ya que éstas son una de las principales fuentes a través de las cuales se puede obtener información que quizás, a simple vista no parece relevante, pero que para un atacante resulta ser un valioso descubrimiento.
¿A qué nos enfrentamos?
Dentro de los ataques de ingeniería social más utilizados se encuentra el phishing, vishing (phishing de voz), smishing (phishing mediante SMS), spear phishing (ataques dirigidos), campañas de vulneración del correo electrónico de empresas (BEC) o fraude del CEO. Para que estas técnicas sean efectivas, se requiere que las víctimas participen completando una determinada acción, lo cual muchas veces se logra al captar su interés a través de mensajes urgentes o llamativos que lleven a las personas a hacer clic en un enlace, descargar un archivo, transferir dinero o realizar una compra.
Estos mensajes fraudulentos suplantan la identidad de bancos, instituciones u organizaciones con el fin de generar credibilidad y confianza para que la persona no dude en hacer lo que se le solicita. Además, a veces también pueden ser enviados por algún supuesto conocido, compañero de trabajo o familiar, lo que hace aún más difícil el reconocer este tipo de ataques.
No obstante, para evitar caer en el engaño, el Líder del proyecto Security Awareness de la empresa 3IT Quality of Service, Felipe Molina, recomienda “siempre investigar el destino final de cada enlace antes de hacer clic, con sólo poner el cursor sobre el hipervínculo o presionar algún botón de acción, se mostrará la URL de destino. También hay que leer atentamente la información que contiene el mensaje, ya que muchas veces suelen tener errores, faltas de ortografía o sutiles cambios de letras que pueden delatar que se trata de un fraude y, si proviene de un remitente desconocido o sospechoso, nunca hay que descargar los documentos o archivos adjuntos. En caso de duda, lo mejor es confirmar con la fuente para corroborar la información ya sea directamente con la persona que la envía (de ser un conocido) o a través del sitio Web de la empresa involucrada. Si alguien piensa que fue víctima de este tipo de ataques, es necesario que cambie las contraseñas de las plataformas afectadas y, en el caso de las empresas, dar aviso al equipo encargado”.
Pero muchas veces no basta con sólo leer este tipo de recomendaciones, por eso una de las formas más efectivas de evitar caer en estas técnicas de ingeniería social es mediante el awareness, ya que la formación constante a través de actividades periódicas permite desarrollar una cultura entorno a la seguridad de la información que actúe como principal barrera ante ciberataques. Para esto, existen tres aspectos claves a considerar: las personas, sus hábitos y sus costumbres, ya que si se busca generar cambios de conducta que impacten positivamente en las organizaciones, es necesario que cada uno de sus integrantes tome conciencia respecto a su rol y responsabilidad tanto de sus datos personales como de aquellos de la empresa.
Según el informe “State of the Phish 2020” de Proofpoint, el 78% de las organizaciones manifestaron que pueden cuantificar una reducción de la vulnerabilidad al phishing gracias a las actividades de formación para concienciar en materia de seguridad que han realizado, lo cual ratifica el impacto que puede tener un plan de security awareness en las organizaciones, ya que gracias a la formación continua se logra generar un cambio de conciencia respecto al rol proactivo de las personas y el poder que éstas tienen para evitar ser víctimas de ciberataques. De acuerdo a esto, Molina señala que “es importante considerar que estos planes deben ser implementados idealmente durante 1 a 3 años en las organizaciones para lograr una mayor efectividad. Además, la gracia de estos programas es que las personas puedan entender e identificar ciertas variables de riesgo, por lo que es fundamental enseñarles a pensar desde la perspectiva de un usuario malicioso”.
Finalmente, es importante tener en cuenta que más del 80% de los incidentes de seguridad se producen debido a errores humanos, por este motivo, resulta esencial que las empresas capaciten a sus trabajadores sobre los posibles riesgos y amenazas a los que están expuestos para generar una conciencia en torno a la seguridad de la información que contribuya a la protección tanto a nivel personal como organizacional, ya que el factor humano es un aspecto clave sobretodo en situaciones como las que estamos viviendo actualmente, donde circula una gran cantidad información en Internet difícil de verificar, por eso cada persona tiene un rol crucial, ya que si se desarrolla el pensamiento crítico y un comportamiento proactivo en el que se cuestione las acciones que se están realizando o se desconfíe de lo que se está leyendo, esto permitirá, en gran parte, prevenir y no lamentar incidentes.