Estos tipos de ataque implican el envío de mensajes de texto, correos electrónicos, llamadas telefónicas, en un intento de "enganchar" a las personas para que compartan información confidencial, abran un archivo adjunto o un enlace malicioso.
Por ejemplo, hace unos días, el Instituto Federal de Telecomunicaciones (IFT) alertó sobre un correo falso que utilizaba imágenes y el nombre de la institución para ejercer acciones de cobranza, persuadiendo a usuarios de hacer clic en un enlace que solicitaba información personal y pago de facturas por servicios de telecomunicaciones.
Tan solo el mes pasado, Twitter, una de las plataformas sociales más populares e influyentes confirmó que un "ataque de phishing telefónico" dirigido a un pequeño número de sus empleados permitió a cibercriminales obtener el acceso a 130 cuentas de usuarios con alto perfil como Elon Musk, Jeff Bezos, Bill Gates, Barak Obama, entre otros y engañar a miles de personas para que regalaran dinero a través de bitcoin.
Twitter describió el incidente como un "ataque coordinado de ingeniería social" que "apuntó con éxito a los empleados con acceso a sistemas y herramientas internos".
Este 11 de agosto, el SANS Institute reveló que cientos de correos electrónicos de una cuenta interna fueron reenviados a un tercero desconocido, comprometiendo casi 30,000 registros de información de identificación personal (PII).
Dentro de su análisis, explicaron que "detectaron un correo electrónico de phishing como el vector de ataque", por medio del cual el atacante obtuvo el control de la cuenta de correo de la víctima e instalar un complemento malicioso de Office 365 en su máquina para configurar una regla de reenvío de correo a la cuenta externa.
Un estudio realizado por KPMG en México, destacó que empresas mexicanas han sido víctimas de ingeniería social, un 41% fue a través de correos de suplantación de identidad de proveedores y personas en los correos electrónicos corporativos y 32% de phishing.
Estos ataques destacan las limitaciones en los controles de seguridad adoptados incluso por algunas de las organizaciones más grandes y conocedoras de la tecnología, que continúan siendo víctimas de esta conocida técnica de ataque.
Capacitar a la fuerza laboral no es suficiente
En este panorama de amenazas, dónde la diferencia entre un correo electrónico malicioso y una comunicación legítima puede volverse casi imperceptible, además de concientizar a los empleados en ciberseguridad ante la posibilidad de recibir correos falsos, se necesita de tecnología para que nos ayude a detectar los signos sutiles de un ataque, cuando los humanos por sí solos no lo hacen.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.