¿Cuándo fue la última vez que sufrió un phishing? ¿Ahora mismo? ¿Hoy temprano? ¿Ayer? Probablemente hace más tiempo de lo que cree, ya que el phishing reina como el ataque más común relacionado con credenciales según el informe Verizon 2024 Data Breach Investigations Report y con 3.400 millones de correos spam según los informes, salir todos los días.
Una pregunta aún más interesante: ¿Cuándo fue el primero ¿Cuándo sufriste un phishing? ¿Hace diez años? ¿veinte? ¿Hace más? Si estaba conectado en el año 2000, es posible que incluso le haya atacado el ILOVEYOU gusano, un esquema de phishing muy temprano que cerró los sistemas de correo electrónico en AT&T y el Pentágono, entre otros lugares.
Todo lo cual nos lleva a la pregunta verdaderamente importante: ¿Por qué demonios sigue ocurriendo esto y qué hace falta para detenerlo?
Pues bien, hasta ahora no disponíamos del paradigma de seguridad adecuado para luchar eficazmente contra el phishing. Pero la buena noticia es que ahora lo tenemos: Confianza Cero.
El phishing persiste por varias razones: es fácil de hacer, es difícil de combatir y sale muy rentable. La metodología de suplantación de identidad es increíblemente sencilla: basta con hacerse pasar por otra persona y, al hacerlo, engañar a la víctima para que facilite credenciales de inicio de sesión que le permitan acceder a datos valiosos y otros recursos.
Como Charlie Brown confiando en Lucy para no mover el balón, las víctimas del phishing parecen ser engañadas perpetuamente para que cometan el mismo error una y otra vez. Esto se debe a que los métodos de los autores evolucionan continuamente. Por ejemplo, Los primeros intentos de phishing solían realizarse por correo electrónico; ahora es igual de probable que incluyan mensajes de texto y otras formas de comunicación. Los constantes cambios en las formas y los métodos hacen que a los destinatarios les resulte cada vez más difícil reconocerlos. varios esquemas de phishing por lo que son, incluso cuando el destinatario es alguien que debería saberlo mejor.
Mientras los esquemas de phishing sigan funcionando, las organizaciones seguirán perdiendo dinero y los malos actores seguirán enriqueciéndose. El último valor medio de las filtraciones derivadas del phishing? $4,76 millones, según el informe de IBM Cost of a Data Breach Report 2023.
Pero hay una ruta hacia un resultado diferente, y reside en la Confianza Cero.
Después de todos estos años en los que los ataques de phishing se han cobrado millones de dólares de las organizaciones, estamos asistiendo a un cambio en la forma de defenderse contra el phishing, el ransomware, los ataques a la cadena de suministro y otras amenazas, un cambio que augura una defensa más eficaz contra el phishing.
En este cambio, la Confianza Cero se perfila como una de las formas más eficaces de mejorar la seguridad, superando los paradigmas tradicionales basados en el perímetro para combatir las amenazas con mayor eficacia.
Según el informe de Gartner® informe "Respuesta rápida: ¿Cuáles son los principios básicos de la confianza cero?": "La confianza cero es un paradigma. Sustituye la confianza implícita por niveles de riesgo y confianza evaluados continuamente, basados en la identidad y el contexto."
En el paradigma de seguridad de confianza cero, la comprobación de que alguien o algo no es de fiar ya no es un hecho puntual que sólo se produce en respuesta a un intento de acceso u otro suceso potencialmente arriesgado. En su lugar, las organizaciones deben verificar la fiabilidad constantemente. Piense en ello como un alejamiento de la idea de "confiar, pero verificar" como base de la seguridad, y en su lugar adopte el concepto de "nunca confíe, siempre verifique".
Hoy en día, algunas de las organizaciones de mayor seguridad del mundo -aquellas que forman parte directa o indirectamente de la administración pública- están exigiendo Zero Trust para mejorar su seguridad. El memorándum ejecutivo de la Oficina de Gestión y Presupuesto (OMB) de Estados Unidos M-22-09 establece una estrategia federal de arquitectura de confianza cero para el gobierno. Y en Europa, la Directiva NIS2, que es la legislación a escala de la UE sobre ciberseguridad, incorpora la siete principios de Confianza Cero-según la definición del Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST).
Es posible que se pregunte cómo se aplican las directivas gubernamentales de alto nivel sobre Confianza Cero descritas anteriormente a la lucha contra el phishing, en concreto. El informe de Gartner informe postula que: "Los responsables de la seguridad y la gestión de riesgos pueden estandarizar cinco principios básicos para impulsar la estrategia de confianza cero de su organización". Creemos que varios de esos principios básicos son directamente relevantes para los esfuerzos contra el phishing:
"Establecer identidad". Para cumplir este principio de confianza cero, el informe de Gartner señala que las organizaciones necesitan "Una política organizativa establecida para 'quién debe tener acceso a qué, cuándo y por qué'".
Creemos que esa política es uno de los pasos más eficaces que pueden dar las organizaciones para mejorar su seguridad general y defenderse específicamente del phishing. Con esta política en vigor, los usuarios que son víctimas de phishing tienen menos probabilidades de acceder a objetivos de alto valor que buscan los delincuentes. Las cuentas suplantadas también tendrán menos capacidad para moverse lateralmente y encontrar o solicitar nuevos derechos que explotar.
El informe también señala que otro requisito necesario para cumplir este principio es "Soporte tecnológico para la implementación de multifactores para la autenticación."
Dado que el phishing tiene como objetivo las credenciales, una solución como la autenticación multifactor (MFA) de RSA podría limitar considerablemente el daño que podría causar una sola credencial comprometida.
"Acceso limitado". No se trata sólo de que las organizaciones establezcan la identidad y determinen de antemano qué derechos necesita un usuario determinado: también deben esforzarse por limitar el acceso siempre que sea posible. En el caso del phishing, limitar el acceso ayudará a garantizar que los malos actores no puedan confiar en las credenciales de un usuario para conseguir lo que quieren. Por eso el informe de Gartner recomienda que, para avanzar hacia la Confianza Cero, "los usuarios o sistemas sólo deben tener acceso a un recurso en función de la necesidad de realizar una función requerida".
Asimismo, el informe señala que el acceso limitado requiere "Reducir las zonas de confianza implícitas y los derechos concedidos a las cuentas de usuario". Creemos que menos personas con menos acceso y más bloqueos juntos crean un entorno en el que simplemente no hay tanto que un mal actor pueda explotar.
En apoyo de este entorno, Gobernanza y ciclo de vida de RSA proporciona un marco para gestionar el acceso que se centra no sólo en saber a qué tienen acceso los usuarios, sino también a qué do con ese acceso.
"Proporcionar un acceso adaptativo basado en el riesgo". Si has leído algo sobre Zero Trust, sabrás que una de las ideas clave de esta arquitectura es "Nunca confíes, verifica siempre". Esto significa que las organizaciones validan cada solicitud de acceso en el momento antes de ampliar los privilegios o el acceso. Esa idea de verificación continua se menciona en este punto del informe de Gartner: "Pasar de las comprobaciones de acceso únicas a la evaluación continua del riesgo durante una sesión".
La autenticación basada en el riesgo es esencial para avanzar hacia la confianza cero y evitar el phishing, ya que es probable que los ciberdelincuentes con credenciales falsificadas intenten registrar un nuevo dispositivo, trabajar desde una nueva ubicación o acceder fuera del horario laboral habitual del usuario real. RSA Risk AI puede detectar esas señales y cuestionar los intentos de acceso en consecuencia. (E incluso si un actor malintencionado consigue entrar inicialmente, la capacidad de inteligencia basada en el riesgo limitará el tiempo que puede permanecer allí).
Aunque la perspectiva de luchar contra el phishing con Zero Trust es emocionante, también es importante tener en cuenta que el phishing no es, ni mucho menos, la única forma de luchar contra el phishing. sólo vector de amenaza contra el que las organizaciones pueden defenderse utilizando Zero Trust.
###
Descargue el informe de Gartner, Respuesta rápida: ¿Cuáles son los principios básicos de la confianza cero?
Gartner, Inc. Respuesta rápida: ¿Cuáles son los principios básicos de la confianza cero?, Wayne Hankins, Charlie Winckless, Andrew Lerner. Publicado originalmente el 2 de mayo de 2024.
GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE.UU. e internacionalmente y se utiliza aquí con permiso. Todos los derechos reservados.
