• 30/09/2019

El factor humano necesario para el éxito de más del 99% de los ciberataques

Ciberseguridad

Proofpoint, Inc., empresa líder en ciberseguridad especializada en proteger los mayores riesgos y activos de las organizaciones que son sus empleados, acaba de publicar su informe “Human Factor 2019”, en el que analiza datos recopilados durante 18 meses (2018 y primer semestre de 2019). Los resultados se basan en su base de datos mundial y el análisis de miles de millones de mensajes diarios en cientos de millones de dominios.

El factor humano es la clave de la ciberseguridad

Cada año, los ciberdelincuentes continúan refinando su uso de la ingeniería social y confiando en la interacción humana en lugar de exploits automatizados para instalar malware, iniciar transacciones fraudulentas, robar datos y realizar otros ciberdelitos. Menos del 1% de los ataques durante 2018 hicieron uso de vulnerabilidades del sistema. Más del 99% de los ciberataques aprovecharon "el factor humano": la curiosidad, confiar en que personas bien intencionadas hagan click, descarguen, instalen, abran archivos y envíen datos o dinero... Los ciberdelincuentes ya no atacan sistemas informáticos y la infraestructura tecnológica de las empresas, sino que enfocan sus ciberataques a las personas, sus roles dentro de una organización, los datos a los que tienen acceso, y su probabilidad de "hacer click aquí".

Ya sea en ataques masivos, grandes campañas indiscriminadas, que afectan a sectores/industrias específicos, áreas geográficas concretas o que buscan a una sóla persona dentro de una organización, los ciberdelincuentes siempre encontraron personas para ser los vectores más efectivos para infiltrarse en organizaciones y facilitar el fraude y el robo.

Desde 2017, el ransomware ha dejado de ser la principal amenaza y en los últimos 18 meses se ha registrado un fuerte cambio hacia el malware para robar información, con ingeniería social cada vez más generalizada y efectiva para aprovecharse de las personas. Mientras se envían mensajes impostores que parecen provenir de un colega de confianza o instalan  malware cada vez más robusto que genera perfiles de personas para robar datos y credenciales que emplear en ataques futuros, los ciberdelincuentes persiguen el dinero. Y aunque la volatilidad de las criptomonedas y la capacidad para detectar y luchar contra el ransomware mitigó este cambio inicialmente, la información facilitada por las víctimas a través del malware y los ataques de phishing generan fuentes de ingresos que facilitan futuros ciberataques.

Con independencia de los medios del ciberataque (correo electrónico, aplicaciones en la nube, la web, redes sociales u otros vectores) los ciberdelincuentes han demostrado efectividad  de las tácticas de ingeniería social para convencer a las víctimas de que hagan click en enlaces maliciosos, descarguen archivos inseguros, instalen malware, transfieran fondos y divulguen información confidencial, y todos tenían una cosa en común: el conocimiento y disposición a aprovechar el factor humano.

Un informe centrado en las personas

El informe de Proofpoint evidencia que

  • el email continua siendo el principal vector de los ciberataques y con los ciberdelincuentes buscando nuevas vías para robar dinero y datos simultáneamente, siguiendo un patrón laboral típico: mayor volumen de ataques enviados los lunes y reducción progresiva durante el resto de la semana para aprovechar la menor concentración del personal en el primer día laboral de la semana.
  • las personas en las que se concentran los ciberdelincuentes no son generalmente los principales ejecutivos de las organizaciones sino aquellos con informació más expuesta en perfiles sociales, webs, publicaciones, brechas de información, etc.;
  • la obtención de credenciales (usuarios/passwords) mediante técnicas de ingeniería social es la principal fuente de captura de información para posteriores ciberataques;
  • los ataques en organizaciones están evolucionando hacia ciberataques desde varias identidades suplantadas a varios individuos de la misma organización por sus mejores ratios de efectividad;
  • Los sectores preferidos por los ciberdelincuentes son las entidades financieras, industrias, tecnología, salud y distribución (en este orden descendente).

El informe abunda en multitud de detalles adicionales como las principales marcas empleadas por los ciberdelincuentes en la construcción de sus emails falsos, los principales dominios empleados para construir los ciberataques o qué técnicas/malwares se emplearon en atacar a los principales sectores afectados en el período del análisis. 

Finalmente, Proofpoint aporta sus recomendaciones para construir un ecosistema digital más seguro entorno a su eslabón más débil: las personas.

Las personas somos el objetivo de los ciberataques

Las acciones y objetivos de los ciberdelincuentes actuales están definidos por el factor humano. La mayoría de ciberataques se basan en las personas y en la naturaleza humana. Incluso los ataques automatizados se desplegan generalmente de tal forma que todavía requieren activación por parte de personas en lugar de dispositivos. Con el despliegue generalizado de plataformas SaaS y el aumento de la incidencia y la sofisticación de los ataques de impostores, el objetivo principal de los atacantes y la última línea de defensa para las organizaciones, son en las personas, junto con las capas más tradicionales de seguridad y capacitación, fundamentales para un enfoque holístico de la ciberseguridad.

En Efika somos conscientes de la incidencia del factor humano en la gestión de ciberseguridad de su empresa, y por ello le ofrecemos nuestro simulador de ciberataques, como solución de concienciación y formación de sus empleados. El simulador de ciberataques de Efika ayudará a que las personas que forman su organización aprendan a detectar intentos de ciberataque y cómo actuar frente a ellos, así como permitirá idenficar en su organización las personas que representan un mayor riesgo de ciberseguridad. Contacte con Efika. Sabemos cómo ayudarles.


Tags: ciberataque, ciberdelincuente, ciberseguridad, empleado, simulador de ciberataques

Categorías

Tags