A lo largo del tercer trimestre de este año se enviaron alrededor de 204 millones de correos electrónicos con phishing, lo que supone un incremento del 31% respecto al trimestre anterior.

Que los ciberdelincuentes no cierran por vacaciones es algo que ya sabíamos. Sin embargo, un estudio de la empresa de ciberseguridad Vade, constata que este año, durante los meses de julio a septiembre, incluso han incrementado su actividad en lo que a phishing se refiere.

De acuerdo con los datos recabados por la compañía, los correos electrónicos con phishing alcanzaron los 203,9 millones de envíos, una cifra que supera en un 31% los 155,3 millones del trimestre anterior.

Además, durante este tercer trimestre, los correos electrónicos con malware aumentaron un 217% en comparación con el mismo período de 2021. El volumen de correos electrónicos de malware alcanzó su punto máximo en julio, alcanzando los 19,2 millones, si bien durante los meses de agosto y septiembre la cifra cayó hasta los 16,8 y 16,5 millones, respectivamente.

Según el informe, el correo electrónico es el vector de ataque preferido para el phishing y el malware, ya que ofrece a los ciberdelincuentes un canal directo hasta los usuarios, considerados como el eslabón más débil en la superficie de ataque de una organización.

Asimismo, desde Vade también apuntan que, a medida que los ataques se vuelven más sofisticados, son más capaces de evadir la seguridad básica que ofrecen los proveedores de correo electrónico, en la que aún confían casi 8 de cada 10 empresas.

Ataques de phishing cada vez más específicos

Si bien la actividad de los actores de amenazas fluctúa, hacerse pasar por marcas de confianza y ya reconocidas sigue siendo la estrategia que más emplean. Esto ha llevado a que Facebook haya sido la marca más suplantada por segundo trimestre consecutivo, seguida de Google, MTB, PayPal y Microsoft.

Por su parte, el sector de servicios financieros sigue siendo la industria más suplantada, representando el 32% de los correos electrónicos de phishing detectados.

En ellos se percibe cómo las técnicas utilizadas en estos ataques siguen evolucionando. Si bien las campañas de phishing han sido, tradicionalmente, a gran escala y aleatorias, hoy en día vemos que los ciberdelincuentes apuestan por campañas más específicas con objetivos más específicos.

Otras campañas son las que utilizan servicios legítimos para transmitir y ocultar ataques de phishing. Por ejemplo, el pasado mes de septiembre se detectó una campaña que explotaba Pôle Emploi, un sitio web francés de empleo, utilizándolo para distribuir enlaces de phishing a empresas que buscaban candidatos para ofertas de trabajo. No hay que olvidar que en España el SEPE también ha sufrido estos ataques.

En este ataque, los ciberdelincuentes solicitan ofertas de empleo y adjuntan un currículum en PDF que contiene enlaces maliciosos. Una vez enviado, la plataforma genera un correo electrónico que contiene el PDF malicioso y que envía automáticamente a la empresa de contratación.

Según Vade, esta es una nueva estrategia de ataque probablemente se utilizará mucho más común en el futuro, ya que este tipo de plantillas ahorra el tiempo y el esfuerzo a los ciberdelincuentes a la hora de diseñar un correo electrónico que se haga pasar por una organización.

Además, también aumenta la probabilidad de que el ataque se produzca con éxito al reducir las sospechas de las víctimas.

Capacitar a los empleados, clave contra los ataques de phishing

Ante la proliferación de estas amenazas y su sofisticación, capacitar a los empleados sobre los peligros del phishing es sin duda un paso imprescindible.

Desde el Centro de Ciberseguridad Nacional del Reino Unido, el NCSC, apuntaban recientemente a través de su blog la importancia de formar a los empleados para que tomen precauciones en el uso de su correo electrónico.

No obstante, también advertía de la dificultad que supone esta tarea ya que estudiar detenidamente cada correo para dilucidar si es de confianza o no, y si pueden hacer clic en los enlaces o descargar los archivos que adjunten lleva su tiempo. Un tiempo del que no siempre disponen ante la rapidez que exige la realización de tareas hoy en día.

Por eso, empresas como Mimecast apuestan por una concienciación holística, mucho más adecuada para mantener a los usuarios comprometidos, ya que ofrece un mayor contexto y cómo su actuación contribuye a la mejora de su organización.

La formación de los empleados en ciberseguridad es hoy en día indispensable. Pero debe ir acompañada de acciones de concienciación que refuercen la postura de estos usuarios a la hora de convertirse en una barrera de entrada a posibles ciberataques.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre