El cibercrimen está en pleno auge. Un informe elaborado por Intel Security revela que las técnicas de los cibercriminales han evolucionado hasta el punto de que en la actualidad utilizan las mismas técnicas de venta que usan las empresas para extraer datos valiosos de clientes y empleados.
Según el informe, dos de cada tres correos que se envían en el mundo son «spam» y su único propósito es extorsionar a los receptrores para obtener dinero e información. Según la empresa McAfee Labs, se han detectado más de 30 millones de URLs sospechosas de enviar correos fraudulentos.
Las técnicas de los cibercriminales se han perfeccionado tanto en los últimos años que se estima que el 80% de los trabajadores no son capaces de detectar siquiera los timos de «phishing» más comunes y frecuentes. El Ministro de Asuntos Exteriores, José Manuel García Margallo, citaba un estudio el que se recoge que España es el tercer país con más ataques cibernéticos del mundo, tras Estados Unidos y Reino Unido. El número de ciberdelincuentes en 2014 superó los 70.000, lo que tiene una repercusión en las empresas españolas que pierden, cada año, más de 14.000 millones de euros a causa de los ciberataques. Todo ello implica que la ciberdelincuencia mueva más dinero que incluso el narcotráfico.
> Técnicas más sofisticadas
El informe de Intel Security, respaldado por el Centro Europeo del Cibercrimen de la Europol, revela además que las últimas técnicas de ingeniería social puestas en marcha por los cibercriminales son cada vez más sofisticadas y más difíciles de detectar. A través de estos métodos, los cibercriminales son capaces de conseguir que sus víctimas hagan cosas que normalmente no harían, actos que se suelen traducir en la pérdida de datos e información valiosa. Y también en cuantiosas pérdidas económicas y de reputación.
En el informe, denominado «Hacking the Human OS» y que llega apenas unos días después de que 100 bancos de todo el mundo hayan confirmado que han sufrido ataques de malware que les causó daños estimados en 1.000 millones de dólares, se recogen casos de ciberataques sofisticados. Las redes y ordenadores de los bancos sufrieron ataques de «phishing» demostrando la debilidad inherente en el «firewall humano» y la necesidad de educar a los empleados sobre las principales técnicas de persuasión en el mundo digital.
Los expertos en seguridad informática destacan un notable aumento en la sofisticación de las técnicas de ingeniería social. «Lo más común que nosotros vemos cuando investigamos brechas de datos es el uso de ingeniería social para obligar al usuario a hacer algo que facilite la infección de malware sin que sea consciente de ello», afirma Raj Samani, portavoz de Intel Security Europa, asesor el Centro Europeo del Cibercrimen de la Europol y uno de los autores del informe.
Paul Gillen, Director de Operaciones del Centro Europeo del Cibercrimen de la Europol, también comenta que los cibercriminales no necesitan necesariamente un gran conocimiento técnico para conseguir sus objetivos. «Confían en la manipulación psicológica para infectar los ordenadores de las víctimas a través de phishing, por ejemplo. Dichas víctimas son persuadidas para que abran adjuntos aparentemente legítimos o pulsen en un enlace en el cuerpo del correo electrónico que parece proceder de fuentes conocidas», señala.
El equipo de 500 investigadores de los laboratorios de McAfee Labs de Intel Security destaca el hecho de que dos tercios de los emails de todo el mundo son ahora «spam» destinado a la extorsión para obtener dinero e información confidencial del receptor. Esto supone que los consumidores y empleados deben estar alerta contra el «phishing».
«Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. Especialmente porque el objetivo son las personas, no solo el sistema. En este sentido, la forma más eficaz de protegerse frente a estas amenazas es estar informado, y las empresas deben impulsar la educación en materia de seguridad, con el fin de mitigar los riesgos», comenta Javier Perea, director de Intel Security España.
La importancia de la seguridad y la gestión de políticas nunca han sido más evidentes. Sin embargo, otro reciente estudio de Enterprise Management Associates, destaca que solo el 56% de los empleados ha recibido algún tipo de formación en seguridad, protocolos o políticas.
> ¿Qué es la ingeniería social?
Se trata de un conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y premeditada por los cibercriminales para la obtención de información de terceros. Podría denominarse también como el sutil arte del engaño llevado a cabo a través de los usuarios, que en definitiva son el
eslabón débil y que nos son conscientes del daño que pueden provocar. Un ataque que utilice ingeniería social puede dividirse en dos categorías: Por un lado, el llamado Hunting, cuyo objetivo es extraer información a través de una interacción mínima con el objetivo. Y Farming, que tiene el objetivo es establecer una relación continuada en el tiempo para «exprimir» al máximo a la víctima y extraer gran cantidad de información. Si quieres saber más acerca de Ingeniaría Social puedes acceder a este
enlace.
Secur-IT @C.R.S. 