El phishing ya se ha convertido en la modalidad de ataque más sencilla y productiva para los ciberdelincuentes, según el informeLessons Learned from a Decade of Data Breaches report, elaborado por por F5 Labs, área de inteligencia en ciberseguridad de F5 Networks.
El informe de F5 revela que el phishing es la técnica responsable de cerca de la mitad de violaciones de datos (48%) por causa raíz. A esto le sigue el relleno de credenciales (18%) y las vulnerabilidades de las aplicaciones web (18%).
Los datos del informe de F5 están respaldados por las cifras publicadas por elAnti-Phishing Working Group (APWG), que indican que la actividad de phishing ha aumentado un 5.753% en los últimos 12 años.
“Es cada vez más evidente que los piratas informáticos están empleando con éxito y de forma masiva técnicas de ingeniería social y phishing a nivel global”, afirma Keiron Shepherd, ingeniero de sistemas senior de F5 Networks.
“Los cibercriminales siguen logrando acceder sin mucho esfuerzo a los datos de las empresas y sus empleados. En la mayoría de los casos, las aplicaciones son el punto de entrada principal. Cuando se consigue explotar la vulnerabilidad de una aplicación, es relativamente sencillo abrirse paso a través de la red y conseguir acceso a los datos. Es fundamental que las organizaciones adopten las medidas adecuadas para mitigar los riesgos, lo que incluye formar a los empleados convenientemente para que puedan realizar su labor con seguridad, así como llevar a cabo pruebas de penetración para evaluar la resistencia del sistema”.
Sobre la base de esta investigación, F5 ha identificado seis comportamientos clave para ayudar a las organizaciones a combatir las amenazas de phishing:
- Tenga cuidado con lo que comparte: las redes sociales animan a las personas a compartir información personal que, en determinados casos, también puede estar relacionada con su actividad profesional. Esta información es muy valiosa para los hackers, ya que puede convertirse en la base de una acción de phishing. Las organizaciones deben poner en marcha y mantener en el tiempo campañas de formación y sensibilización dirigidas a sus empleados, para que todos ellos adquieran una cultura responsable en su actividad en redes sociales.
- Evalúe regularmente el contenido de su web: los hackers pueden centrar su atención en una organización concreta basándose en la información existente sobre empleados, partners, etc. en la web corporativa. Es necesario revisar periódicamente estos contenidos y decidir si todo lo que se publica resulta verdaderamente esencial para el negocio.
- Asegure la red: los sistemas de red vulnerables y las aplicaciones protegidas inadecuadamente pueden facilitar la filtración de información interna, como nombres de servidores, direcciones de redes privadas, direcciones de correo electrónico e, incluso, nombres de usuarios. Es necesario comprobar regularmente que los sistemas de red están configurados de manera robusta para mitigar posibles riesgos de fugas de datos.
- Recuerde que las aplicaciones contienen pistas: muchas aplicaciones no se construyen con una mentalidad de “seguridad por diseño” y, generalmente, se ensamblan desde librerías y frameworks públicos. Algunos componentes pueden contener pistas sobre el equipo de desarrollo y los procesos organizativos. Asegurar esto es una prioridad ineludible.
- Revisar los encabezados de los correos electrónicos: los asuntos de los correos electrónicos son una excelente fuente de información de configuración interna, y los atacantes a menudo envían correos electrónicos para recopilar direcciones IP, determinar el software del servidor de correo y descubrir cómo fluyen los correos electrónicos en la organización. Las empresas deben pedir a sus empleados que verifiquen los encabezados o asuntos de los correos electrónicos antes de abrirlos.
- No sea complaciente: cuanta más información se tenga sobre el tema, mejor. Si un empleado entiende cómo se puede piratear su información y las implicaciones que eso puede conllevar, seguramente trabajará de forma más segura. Establecer unas normas claras y poner en marcha iniciativas de formación pueden ayudar a construir una mejor cultura de seguridad.