Una de las primeras lecciones que aprenden los ciberdelincuentes es "si no está roto, no lo arregles". Por eso phishing sigue siendo uno de los vectores de ataque iniciales más frecuentes: un usuario ve un correo electrónico "urgente" de alguien en quien confía, hace clic en un enlace y los malos acceden a los sistemas y datos que no deberían.
Pero aunque la ciberseguridad lleva décadas enfrentándose al phishing, eso no significa que la táctica no haya evolucionado. Al igual que una cepa COVID en evolución, los actores de amenazas están introduciendo nuevas aristas en el phishing que lo hacen más eficaz en sus objetivos y más dañino para las organizaciones.
Una de esas novedades es el phishing como servicio (PHaaS) que, como su nombre indica, permite a los ciberdelincuentes externalizar sus campañas de phishing a profesionales cualificados. Otra evolución es la toma de control de cuentas en la nube (CATO), que permite a los actores de amenazas acceder a las cuentas en la nube de una organización.
Teniendo en cuenta que el phishing fue el vector de ataque inicial más frecuente y costó a las organizaciones una media de 1.000 millones de euros al año, la mayoría de los ataques se produjeron a través de Internet. $4,76 millones USD por infracción, cualquier cosa que las organizaciones puedan hacer para limitar su exposición al phishing puede contribuir en gran medida a proteger sus resultados y mantenerse a salvo.
Veamos, pues, PhaaS, CATO, qué los hace tan eficaces y qué medidas pueden tomar las organizaciones para mantenerse a salvo de ambos.
Como el ransomware como servicio, se sabe que un vector de amenaza se ha convertido en un problema cuando los ciberdelincuentes pueden externalizar una táctica determinada. Eso es lo que está ocurriendo con PHaaS, que permite a los autores de las amenazas subcontratar y automatizar los ciberataques.
El phishing y la PHaaS tienden a utilizar tácticas de ingeniería social para que sean más difíciles de detectar. Esta es la razón por la que los objetivos reciben tantos correos electrónicos "urgentes" "del" CEO, CFO u otros líderes: es más probable que la gente responda más rápido y con menos precaución si el jefe de su jefe les está diciendo que actúen.
Además, las campañas PHaaS no se limitan a los buzones de correo electrónico tradicionales. Los atacantes ahora atacan servicios de correo electrónico basados en la nube, aprovechando plataformas como Microsoft 365 o Google Workspace. Con la dependencia cada vez mayor de las herramientas y servicios de productividad basados en la nube, los ataques CATO pueden tener consecuencias devastadoras para las organizaciones.
Para empeorar las cosas, a menudo las campañas de PHaaS se dirigen deliberadamente a ejecutivos de nivel C. En una reciente campaña de CATO utilizando Evil Proxy, 39% de las víctimas pertenecían a la alta dirección.
También se ha informado de que se ignoran otras cuentas en favor del CEO o el CFO, y es fácil entender por qué. Los altos cargos suelen tener acceso a datos confidenciales y ejercen una gran influencia dentro de una organización. Como resultado, los atacantes adaptan sus intentos de phishing para centrarse en estos objetivos de alto valor, aumentando la probabilidad de éxito de un ataque CATO.
Los ejecutivos de alto nivel también son los principales candidatos para los ataques de spear-phishing, en los que los atacantes elaboran mensajes altamente personalizados para engañar a sus víctimas y hacer que revelen información confidencial o hagan clic en enlaces maliciosos. Lo que está en juego es más importante cuando se trata de ejecutivos, por lo que es imperativo que las organizaciones tomen medidas proactivas para proteger a sus directivos.
Para combatir la creciente amenaza de los ataques CATO y PHaaS, las organizaciones pueden recurrir a soluciones de autenticación modernas como el protocolo Fast Identity Online (FIDO). FIDO ofrece una forma segura y fácil de verificar la identidad de los usuarios, reduciendo el riesgo de ataques de phishing.
La autenticación basada en FIDO se basa en la criptografía de clave pública, que mejora la seguridad al eliminar la necesidad de contraseñas. En su lugar, los usuarios se autentican utilizando un dispositivo de hardware registrado de forma segura: al autenticarse, se les pide que toquen el dispositivo para cumplir el factor "algo que tienes" de AMF. Esto significa que aunque un atacante suplante las credenciales de un usuario, no podrá superar el reto de autenticación si no está en posesión del dispositivo.
Hacer que la autenticación sea a la vez fácil y segura es fundamental para impulsar la adopción por parte de los usuarios en toda la organización. La tecnología en la que se basan los dispositivos FIDO los hace extremadamente útiles para resistir incluso a las campañas de phishing más complejas.
Muchas organizaciones se han resistido a invertir en FIDO ya que la tecnología sólo funciona a través de la Web, como en aplicaciones en la nube y servicios SaaS. Esta limitación deja atrás muchas de las aplicaciones y recursos críticos in situ que las empresas necesitan para seguir funcionando. Invertir tiempo, esfuerzo y presupuesto en una tecnología que no funciona en todas partes resulta problemático para muchas organizaciones.
RSA ha resuelto ese reto con diversas soluciones:
- RSA Authenticator App 4.5 proporciona una clave de acceso vinculada al dispositivo con certificación FIDO2 en los dispositivos móviles de los usuarios, lo que ayuda a las organizaciones a mejorar la adopción, mejorar la experiencia del usuario, aumentar la productividad y acelerar la madurez de Zero Trust.
- En Serie RSA iShield Key 2 incluye compatibilidad con FIDO2, PIV, HOTP y un módulo criptográfico con certificación FIPS 140-3. Los autenticadores de hardware cumplen la Orden Ejecutiva 14028, OMB M-22-09 y OMB M-24-14, y pueden ayudar al sector público y privado a simplificar y asegurar la gestión de credenciales.
- En RSA DS100 es un autenticador de hardware que proporciona tanto contraseñas de un solo uso (OTP) para recursos locales como FIDO para recursos conectados a Internet. Un dispositivo de este tipo no solo protege las cuentas basadas en la nube, sino también los sistemas locales heredados que pueden depender de métodos de autenticación antiguos como OTP.
La capacidad de salvar la distancia entre los modernos servicios en la nube y los sistemas heredados es crucial para muchas organizaciones. Al implementar una solución FIDO híbrida como RSA DS100, RSA Authenticator App o RSA iShield, las organizaciones pueden garantizar una seguridad coherente en todas las cuentas y aplicaciones. Esto asegura que incluso si usted tiene algunos sistemas que sólo pueden desafiar con métodos OTP, todavía están protegidos.
Mantenerse un paso por delante de amenazas como CATO y PHaaS requiere un enfoque proactivo de la ciberseguridad. Estas son algunas de las mejores prácticas que las organizaciones pueden adoptar para reducir sus riesgos:
- Formación y sensibilización de los empleados: La formación periódica en seguridad es fundamental para ayudar a los empleados a reconocer los intentos de phishing y evitar caer en tácticas de ingeniería social.
- Implantación de la AMF: La AMF añade una capa extra de protección, dificultando significativamente el éxito de los atacantes, incluso si las credenciales están comprometidas.
- Realización periódica de auditorías de seguridad: Las revisiones periódicas de los controles de acceso, los permisos y las configuraciones de cuentas de los servicios en la nube son importantes para identificar vulnerabilidades que los atacantes podrían explotar.
- Aplicación de un enfoque de seguridad por niveles: La seguridad por capas incluye múltiples mecanismos de defensa en distintos puntos de la red.
- Actualización periódica de los protocolos de seguridad: Las ciberamenazas evolucionan con rapidez, por lo que la actualización periódica de protocolos y políticas garantiza que se ajustan a las mejores prácticas de seguridad más recientes.
Ya se trate de PHaaS, de dirigirse a ejecutivos de nivel C, de CATO o de lo que sea siguiente arruga que los ciberdelincuentes lanzan a las organizaciones, es crucial que la ciberseguridad vaya un paso por delante.
La implantación de un dispositivo FIDO híbrido que proteja tanto los sistemas basados en la nube como los sistemas locales heredados es un poderoso paso para garantizar la seguridad integral de su organización. Al adoptar métodos de autenticación sin contraseña y manteniéndose alerta frente a las amenazas en evolución, las organizaciones pueden salvaguardar su negocio de ataques CATO, phishing y otros riesgos. Recuerde, cuando se trata de ciberseguridad, la prevención proactiva es siempre mejor que la recuperación reactiva.
