Ha pasado más de medio siglo desde el envío del primer correo electrónico de la historia, en 1971. Mucho han cambiado las cosas desde entonces, para empezar el número de e-mails que se envían y reciben, que a fecha de 2021 se estimaban en más de 300.000 diarios. También ha cambiado que una gran cantidad de ellos se trata de correos maliciosos. Una de las principales amenazas del correo electrónico es el phishing (suplantación de identidad) que, lejos de disminuir, sigue experimentando un importante auge, con campañas más dirigidas y sofisticadas. La democratización de herramientas de inteligencia artificial y chatbots que nos dan respuesta a casi todo, están influyendo en este sentido. Hablamos con Josep Albors, director de Investigación y Concienciación de ESET España sobre estas tendencias.
Pregunta. En vuestro último informe de amenazas se desprende que el phishing sigue siendo una de las principales ciberamenazas, no deja de crecer. ¿Cuáles son las principales conclusiones en este sentido?
Respuesta. Es destacable que en 2022 España vuelve a ser tendencia, para nuestra desgracia, en cuanto a ladrones de información, ya sea por robos de credenciales como también por robos enfocados a credenciales bancarias.
También el correo se vuelve a poner una vez más como el vector ataque preferido de los atacantes. Algo que venimos viendo en los últimos años pero que cada vez va evolucionando, porque utilizan asuntos bastante convincentes suplantando empresas u organismos oficiales, como hemos visto sobre todo desde el inicio de la pandemia. Es importante también que siguen mejorando en cuanto a los textos, cuerpos de los correos y los mensajes.
Por eso, fijarnos en las reglas de ortografía para detectar un fraude ya no es tan útil. De hecho, con el auge ahora mismo del uso de la inteligencia artificial, incluso algunos delincuentes (estamos viendo ejemplos) están utilizando la inteligencia artificial para generar mensajes más convincentes.
También hemos de tener en cuenta que muchas veces las credenciales que roban cuentas las utilizan para enviar mensajes maliciosos a otras cuentas desde un remitente legítimo, con lo cual eso puede confundir algún filtro antispam si no está bien afinado.
También estamos viendo que aunque muchas empresas, sobre todo las pymes, no le den mucha importancia a este robo de credenciales, sí que deberían hacerlo porque es la fase inicial de algo que puede llegar a comprometer su red interna, robar información confidencial e incluso en casos extremos, cifrarla para exigir un rescate como hacen los casos de ransomware.
P. Has mencionado la inteligencia artificial, algo que ahora está en boca de todos. Se está hablando mucho de que ChatGPT y otras herramientas basadas en inteligencia artificial pueden utilizarse para mejorar las estafas, por ejemplo mejorando los textos de las campañas de phishing para que no sean tan detectables por las víctimas.
R. Sí, antes incluso de que apareciera de forma pública ChatGPT ya habíamos visto una mejora en los últimos cinco años. Los mensajes están cada vez mejor redactados, estamos viendo mensajes incluso en catalán o el euskera muy bien escritos, por lo cual tienen un nuevo nicho ahí. Ahora lo que hace la inteligencia artificial en general es que democratiza entre los delincuentes la posibilidad de generar mensajes más convincentes.
La inteligencia artificial, como todo, va evolucionando. En las empresas de seguridad, por ejemplo, ya estamos utilizando inteligencia artificial y aprendizaje automático desde hace décadas, no es algo nuevo para nosotros. Pero para muchos delincuentes que están empezando y buscan algún kit de exploits o de ciberamenazas que puedan utilizar de forma sencilla, esto les facilita un poco más el trabajo, con lo cual podemos ver un aumento de ataques más dirigidos. Veremos un aumento de ataques dirigidos a empresas muy concretas que saben que pueden ser víctimas fáciles de este tipo de amenazas.
P. Las amenazas a través del correo electrónico son cada vez más sofisticadas, ¿qué podemos hacer los usuarios y las empresas para evitar ser víctimas de estos ataques (estafas, suplantación de identidad, phishing…) teniendo en cuenta que cada vez son más difíciles de detectar?
R. Tenemos que olvidarnos de las viejas reglas que dicen que los correos pueden venir mal escritos o que nos fijemos en el remitente, no siempre es así. Seguimos viendo delincuentes que utilizan remitentes que no tienen nada que ver con el asunto del mensaje, pero también vemos otros que están utilizando cuentas de correo comprometidas de empresas en las que tanto la cuenta del correo, el asunto del mensaje, el cuerpo del mensaje e incluso la firma es aparentemente legítima. Además se envían normalmente desde departamentos de administración y ventas que reciben muchas veces decenas o cientos de correos de ese tipo al día, con lo cual es muy fácil que se confundan, descarguen el archivo y lo ejecuten infectando el sistema.
Entonces, ¿qué podemos hacer? Ante todo revisar si estamos esperando un correo de ese remitente, por muy legítimo que parezca. Si estamos ante una duda, comprobar: llamar a ese cliente y preguntar si ha enviado eso. Porque muchas veces incluso los delincuentes utilizan correos previos, adjuntos al mensaje para que este tipo de acciones resulten más convincentes. No fiarnos ni de nuestra sombra.
Desde el punto de vista técnico: confiar en soluciones de seguridad que estén capacitadas para detectar estos mensajes en los servidores antes de que lleguen a los clientes, y en el caso de que lleguen, que lo bloqueen y no permitan la ejecución de este tipo de malware.
P. España sigue siendo uno de los países más atacados, especialmente con este tipo de técnicas. ¿Por qué crees que es así, qué características influyen en estos datos? ¿Es una cuestión de cultura de ciberseguridad?
R. Llevamos varios años viendo cómo España, junto a Japón, es de los países donde se detectan más ataques de este tipo. Mi apuesta personal, después de hablar sobre todo con mis colegas japoneses, es que hay algunas pautas que se repiten en ambos países.
Por una parte, en las empresas se confía ciegamente en los mensajes que se reciben, sobre todo de remitentes “legítimos”, ya sea un proveedor, un cliente o incluso algún superior. No se discute, se abre y ya está. Y eso facilita muchísimo la tarea de los delincuentes.
Segundo: no se están adoptando medidas de seguridad básicas que tenían que estar adoptadas desde hace una década, por lo menos, con lo cual se permite que los atacantes introduzcan muestras de malware que, si bien no son muy avanzadas, sí permiten infectar los sistemas que no están debidamente actualizados.
Para ponerte un ejemplo, en 2023 seguimos viendo cómo algunos delincuentes explotan vulnerabilidades de hace cinco años. Y lo consiguen porque no están parcheados los sistemas o porque utilizan versiones obsoletas y vulnerables de herramientas como Microsoft Office.
P. ¿Pueden las normativas y la regulación ayudar en este sentido? Por ejemplo, la Ley de Ciberresiliencia de la Unión Europea, dirigida a mejorar y sentar unas bases mínimas de seguridad de los dispositivos digitales que se desarrollen.
R. Estas leyes, si tienen un seguimiento y se implementan de forma que sea obligatorio, so pena de multas, pueden ser efectivas. Muchas empresas, si no les tocan el bolsillo, no van a mover ficha. Quieren vender productos lo más barato posible para así destacarse de la competencia. Pero si la ley está bien redactada, se implementa además con algún tipo de formación o por ejemplo, o ayudas para que las empresas desarrolladoras puedan implementarlo de una forma segura, aunque les cueste más tiempo, haciendo que su dispositivos sea más seguros. Y sobre todo, y por desgracia, imponiendo multas. Tenemos el ejemplo del Reglamento General de Protección de Datos, que aún imponiendo multas se está tomando muy a la ligera. Vemos que la base es buena, falta ponerla en práctica.
