Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Phishing en el entorno empresarial.. ¿Spear Phishing?

Phishing en el entorno empresarial.. ¿Spear Phishing?

Phishing, Spear Phishing, email spoofing y Ransomware… ¿Qué relación tienen con los correos electrónicos en el entorno empresarial y el Plan de Seguridad de la Información en  la empresa?

En los últimos tiempos una de las formas de malware que más rápido se está extendiendo y que, además, más perjuicios está ocasionando a las empresas (también a los particulares, aunque suelen ser ataques que se concentran en el nivel empresarial) es el ramsonware.

Mediante este tipo de malware, los ciberdelincuentes introducen un código malicioso en nuestro sistema que encripta toda nuestra información y nos imposibilita a seguir con nuestra actividad. Para poder recuperar nuestros datos, en caso de que no tuviéramos un Plan de Seguridad que marcara como obligatorias la realización de copias de seguridad periódicas, la única salida que se vislumbra es el pago del rescate dado que, prácticamente la totalidad de este cryptoware es aún, hoy en día, indescifrable.

Para la inyección de este tipo de malware, en la gran mayoría de los casos (prácticamente en todos), se utiliza un troyano que nos envían como fichero adjunto en un mail.

Es por ello que, como base de una buena concienciación, debemos implantar en el Plan de Seguridad de la información en nuestra organización, como un buen sistema de prevención de phising, para minimizar este tipo de incidentes de seguridad.

¿Qué es el phishing?

Es un modelo de ciberdelito que se comete mediante ingeniería social, caracterizado por intentar hacerse con información privada o confidencial de forma fraudulenta. El cibercriminal, se hace pasar por una persona o empresa de confianza en una comunicación electrónica de apariencia más o menos similar a la verdadera (depende de la “profesionalidad” del atacante. Hace tiempo se detectaban de forma más fácil porque el lenguaje utilizado no era muy afinado, derivando en malas traducciones, pero actualmente nos sorprenden incluso con el uso de marcas protegidas y una estructura familiar de posibles cuentas de correo electrónico oficiales o recurrentes).

La manera más habitual es recibir un correo electrónico (aunque también podría ser una llamada telefónica, mensaje de texto o a través de las redes sociales) que, en apariencia, es igual o muy similar al que nos enviaría el proveedor del servicio que utilizan (compañía proveedora de servicio teléfono, entidad bancaria, Correos, la Agencia Estatal de la Administración Tributaria,…), en el que nos piden confirmar detalles personales, nos “informan” de que nuestra cuenta ha sido comprometida, nos piden que iniciemos sesión a través de un enlace para actualizar la información o que descarguemos un archivo adjunto que nos plantean como necesario y de utilidad para nosotros. Todo parece totalmente normal, y hasta legítimo, pero si seguimos esas instrucciones, lo que habremos hecho es entregar datos de acceso, información confidencial o infectar el sistema al que estamos conectados, y … si  me descuidas la propia red de los sistemas de la empresa y base de datos de la misma.

¿Por qué las personas caen en los intentos de phishing?

Al margen de que los intentos de phishing son cada vez más sofisticados y, algunos, replican a la perfección el estilo e imagen de la empresa a la que suplantan, uno de los principales motivos del éxito del phishing es la falta de concienciación e información por parte del usuario.

Esa desinformación actúa, además, en una doble vertiente. Por un lado,hace que, al no conocer los posibles riesgos, se caiga en la trampa de hacer clic en el enlace malicioso o se descargue y ejecute el archivo adjunto. Por otra parte, el hecho de que la información de seguridad no se transmita en las empresas con la suficiente precisión, o se encargue de ello a quienes no son profesionales cualificados, hace que – y aquí entra en juego la ingeniería social -ante este tipo de correos, los destinatarios, que “algo han oído” de la cantidad de peligros que acechan en la red, corren a hacer clic para “garantizar” la seguridad de sus cuentas, haciendo caso a lo que les viene por comunicación electrónica y sin saber que realmente están abriendo la puerta al delincuente.

¿Qué es el spear phishing?

Es un tipo de phishing avanzado, por decirlo de alguna manera, ya que se realiza de un modo más dirigido y específico. Al contrario que el phishing tradicional, en el que los ataques suelen ser masivos y lanzados al azar contra una base de datos de direcciones, el spear phishing se dirige solo a unos usuarios determinados, generalmente altos cargos en la empresa objeto del ataque, y todos aquellos que tienen acceso total y completa a la información sensible y confidencial de la misma.

Por ello, este tipo de ataques son más concentrados en cuanto a número de mails enviados, pero suelen ser más cuidados; se estudia más a fondo el entorno de las víctimas, quienes son sus contactos de confianza, cuál es el tono de las comunicaciones que reciben y cuáles son las organizaciones de las que habitualmente reciben correos.

El motivo es evidente: cuanta mayor información compatible con la verdadera que pueda chequear el receptor, más posibilidades de éxito tendrá el ataque. En muchas ocasiones, el atacante se hace pasar por departamentos de la propia empresa atacada e incluso altos cargos. ¿Quién no haría lo que su director general le está pidiendo en el mail que acaba de recibir?.

Para que el spear phishing tenga éxito debe de cumplir tres factores imprescindibles:

  • El correo electrónico debe parecer venir de una persona conocida y de confianza.
  • El diseño y el contenido deben reflejar con precisión al remitente.
  • Las instrucciones son lógicas y creíbles para el destinatario (excepto en reclamaciones de cantidad de empresas por SMS con las que nunca hemos tenido ninguna relación y a las que por tanto sabemos que no debemos nada, verdad?).

Consejos a las empresas para combatir el Spear Phishing.

Para combatir el spear phishing, al margen de las precauciones generales que comentaré un poco más abajo, las empresas deberían empezar por una labor previa de verificación de 3 puntos importantes, que suelen ser la fuente de información de los ciberdelincuentes:

  • Evitar la publicación en la red de nombres completos, cargos y direcciones de correo electrónico de los altos cargos o ejecutivos que tengan acceso a información sensible.
  • Evitar la publicación de los nombres de personas, direcciones de correo electrónico o contacto directo de las personas directamente encargadas de los departamentos de contabilidad / facturación.
  • Evitar el uso de esquemas coherentes y sistemáticos para el diseño del correo corporativo, al menos en las personas anteriores. Si mi correo es sgonzalez@empresa.com , el de mi compañera sgarcia@empresa.com es lógico pensar que el del director general, Don J.Gutiérrez, aunque no se publique ni su nombre ni su mail, sea jgutierrez@empresa.com

Hay muchas maneras de evitar ser víctima de un ataque de phishing, ya sea tradicional o del tipo spear phishing, pero la mejor arma que podemos tener es la concienciación y divulgación de los tipos de ataque existentes, así como dotar a todos los trabajadores – a todos – de unas pautas de uso responsable de las TIC.

Además de eso, la empresa, integrado en su plan de seguridad de la información, debería tener en cuenta, al menos, las siguientes consideraciones como herramientas preventivas:

  • Verificar los cambios de entidad bancaria de pago a proveedores o cobro de clientes y confirmar las solicitudes de transferencias de fondos.
  • No publicar información financiera y de personal a través de la web o redes sociales.
  • No realizar operaciones financieras mediante banca electrónica si no es desde la propia sede de la empresa. En caso de tener que hacerlo, por necesidad, en movilidad, utilizar un plan de datos propios huyendo de conexiones wifi ajenasy menos aún si son públicas.
  • Implementar en todos los procedimientos financieros que lo permitan un sistema de verificación en dos pasos, especialmente en el pago de transferencias electrónicas.
  • Crear un sistema de detección de intrusiones mediante reglas que marquen los mensajes de correo electrónico que tengan extensiones similares a la real. Por ejemplo, marcr como sospechoso aquellas que lleguen de proveedor.co en vez de proveedor.com
  • Si es posible, registrar todos los dominios de Internet que son similares al dominio real de la empresa.
  • Conocer los hábitos de los clientes, entre ellos la razón, detalle, y la cantidad de los pagos, verificando cualquier cambio significativo.
  • Idealmente, deberíamos implementar un sistema de seguridad de control de los inicios de sesión y acceso a la información de cada usuario final. Esto permitiría saber si una cuenta ha sido comprometida si inicia sesión desde una dirección IP, país, o dispositivo que no suelen utilizar.

¿Qué es el email Spoofing?

Finalmente, comentaremos brevemente qué es el email spoofing ya que es la base de los distintos tipos de phishing.

Se trata de la suplantación de la dirección de correo electrónico de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de mensajes de correo electrónico hoax, para el uso de suplantación de identidad y para SPAM. Y es tan sencilla como el uso de un servidor SMTP configurado para ello.

Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado.

Al margen de ello, puede ser muy difícil de detectar si la suplantación de identidad se realiza en nuestra propia empresa y afecta a uno de los directivos o, directamente, al CEO.

Como en otros casos de phishing, además de las comprobaciones de las IP y servidor, que no siempre es fácil o no disponemos de tiempo para hacerlo, podemos fijarnos en algunos aspectos que siempre se deben tener en cuenta cuando manejamos información sensible:

  • Si la petición es muy urgente o muy importante, debería ser verificada por otra vía. Tratándose, además, de una suplantación dentro de la misma empresa es sencillo tratar de verificarlo en persona o mediante una simple llamada telefónica.
  • El tono del mensaje es importante. Si el mensaje es demasiado formal (o demasiado informal) o resulta extraño su contenido por lo que nos solicita, es recomendable verificarlo por otro medio.
  • En el caso de que se detecte cualquier tipo de suplantación, es imperativo informar a recursos humanos, Informática (Y más si tenemos designado un responsable de seguridad de la información en nuestro Plan de Seguridad) y a contabilidad y administración.

Aumentar la concienciación de todo el equipo humano de la empresa sobre la importancia de las estafas mediante phishing y otras amenazas informáticas a través de sesiones regulares de formación y mediante la implementación y actualización periódica de las políticas corporativas de Seguridad de la Información y sistemas es, hoy por hoy, la única manera de mantener la información de nuestra empresa protegida, y con ello, uno de los activos de más valor en la actualidad.

Siendo conscientes de que, en la red, la seguridad total no existe, un Plan de Seguridad de la Información diseñado por expertos en ciberseguridad y derecho tecnológico será, sin duda, el salvavidas que puede marcar la diferencia entre proseguir nuestra actividad o verse abocado a un cierre ante un ataque cibernético, o en el peor de los casos, seguido de una sanción y/o reclamación de daños y perjuicios de tercero ante un robo o fuga de datos, por no haber actuado con la debida diligencia en la minimización de los riesgos mediante la aplicación de las medidas de seguridad que obligatoriamente tienen las empresas en la actualidad.

Las empresas que tienen y mantienen actualizado su Plan de Seguridad permanecen tranquilas, porque saben lo que debe hacerse, saben que su equipo de personal sabe lo que debe hacerse y, ante una posible incidencia, saben también cuáles son los protocolos establecidos de reacción y recuperación de la información.

No conozco a ningún empresario que no desee descansar algo más tranquilo  y minimizar los riesgos; sin embargo, no pocas empresas todavía no tienen implementado un Plan de Seguridad de la Información y están cayendo en manos de cibercriminales, víctimas de ataques de este tipo.

¿Me ayudas a acercarles la información que pueda tranquilizarles?

Fuente imagen chhrriiss1982-11015957372.jpgBy solidphoto
By |2017-04-17T20:35:46+00:00marzo 16th, 2016|Blog, Seguridad IT|2 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

2 Comments

  1. Santi Rey 25/03/2016 at 2:03 pm - Reply

    Completito, completito, completito.
    Gracias por recopilatorio Susana.

    • Susana 28/03/2016 at 10:07 am - Reply

      Muchas gracias a ti, Santi, por tu aportación. Que tengas una buena semana!

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.