Aumento de los ataques dirigidos

El Senado estadounidense y el Fondo Monetario Internacional (FMI) son los últimos de una creciente lista de importantes empresas y organizaciones que han sido el blanco de ataques virtuales. Sony atrajo la atención del mundo cuando cerró su PlayStation Network después de que los piratas virtuales robaran información sobre sus clientes, incluyendo sus direcciones, fechas de nacimiento, etc. En este caso se expusieron los datos de más de 70 millones de personas. Otro ejemplo es Citibank, que también fue víctima de un robo de datos; y Google, que avisó que los cibercriminales habían comprometido algunas cuentas de Gmail. ¿Cuántos de nosotros guardamos nuestro nombre de usuario y contraseña para sitios como bancos y tiendas online en nuestras cuentas de Hotmail o Gmail?

Si retrocedes 10 años o más, recordarás que programas maliciosos como los virus “I Love You”, “Netsky” y “Bagel” recibieron mucha atención de la prensa. Pero los objetivos de estas amenazas eran muy diferentes. Eran más similares a los grafitis, sus creadores querían infectar a la mayor cantidad de gente posible y ganar mala fama.

Los ataques recientes demuestran que a los cibercriminales ya no les interesa la estrategia de “infectar a todos”, sino que están utilizando métodos más dirigidos. No sólo buscan información financiera como datos de tarjetas de crédito o información para acceder a bancos online; están recolectando todo lo que está a su alcance. Como predijimos a principios del año, estamos en una era de “robar todo”.

Lo que los criminales pueden hacer con los datos robados de tarjetas de crédito es obvio, pero ¿para qué quieren mi fecha de nacimiento, dirección o información sobre mis pasatiempos? Pueden utilizar esta información para lanzar ataques llamados “spear phishing”; se cree que el FMI se infectó a causa de uno de estos ataques.

En este ataque, se trata de engañar a una persona u organización por separado, por lo general vía correo electrónico. Casi todos recibimos muchos mensajes spam y los eliminamos sin darles importancia. Pero si recibes un correo electrónico que dice ser de tu banco o empresa de tarjetas de crédito, y para probarlo incluye los últimos cuatro dígitos de tu número de tarjeta de crédito y tu fecha de nacimiento, puede que pienses dos veces antes de considerarlo spam. Es mucho más creíble y es muy probable que pulses en los enlaces que contiene. Estos enlaces pueden infectarte con malware. El programa malicioso también está diseñado para que funcione en el sistema operativo de su víctima y en las aplicaciones que necesita. Pueden encontrar este tipo de información si la buscan minuciosamente en redes sociales, y hasta pueden llamar a funcionarios de la organización para conseguir más información personal sobre su víctima. Como se crea un programa malicioso especial para atacar a una organización específica, es más difícil que las empresas de seguridad y autoridades lo detecten. En el caso del FMI, ¡parece que el ataque pasó desapercibido por meses!

¿Qué aprendemos de estos ataques dirigidos? En primer lugar, si estamos viendo cada vez más ataques a empresas importantes, es seguro que hay una cantidad aún mayor de ataques a víctimas menos llamativas, pero no aparecen en las noticias. Las organizaciones pequeñas no esperan llegar a ser el blanco de ataques, y es más probable que no tengan defensas tan elaboradas como las grandes organizaciones.

En segundo lugar, las soluciones técnicas nunca son suficientes. La educación es parte clave de la solución del problema. Es esencial que los empleados y funcionarios de cualquier organización moderna conozcan los riesgos y amenazas informáticas y cómo protegerse. Necesitamos crear una cultura más alerta ante los riesgos de seguridad, para que la gente conozca los trucos de ingeniería social más comunes. Al hacerlo, es más probable que nuestros empleados tomen en serio nuestros consejos de seguridad. Por ejemplo, si reciben un recordatorio para cambiar sus contraseñas por una más larga y compleja, comprenderán la importancia de seguir el consejo en vez de ignorarlo.