El phishing se ha constituido como una de las mayores amenazas a nuestros sistemas informáticos a lo largo de 2023. Para 2024 la previsión es que esta tendencia continúe y se consolide aún más, enfocándose en las variantes de este ataque más específicas y dirigidas, el conocido como ‘spear-phishing’.
El phishing consiste en correos electrónicos fraudulentos dirigidos a personas o empresas con el fin de obtener información confidencial o realizar acciones maliciosas. En el caso del spear-phishing hablaríamos de una variante de este ataque pero que hace uso de técnicas más sofisticas y dirigidas a personas o entidades específicas de las que ya se conoce alguna información, lo que permite personalizar el ataque e incrementar las posibilidades de éxito y la peligrosidad del mismo.
En este informe 2023 spear-phishing trends podemos ver las principales tendencias y datos de esta variante. El informe se basa en dos fuentes principales: datos de 50 mil millones de correos electrónicos, incluyendo casi 30 millones de spear-phishing, que fueron analizados por Barracuda; y una encuesta realizada a profesionales de TI de 1.350 empresas de diferentes sectores y regiones, que fue encargada a un investigador independiente (Vanson Bourne).
Según el informe, el spear-phishing es un problema grave y extendido que afecta a la mitad de las organizaciones analizadas y que es responsable de la mayoría de las brechas de seguridad. El informe revela que una organización típica recibe cinco correos electrónicos de spear-phishing altamente personalizados por día, y que estos ataques representan solo el 0.1% de todos los ataques basados en correo electrónico, pero son responsables del 66% de todas las brechas. Esto se debe a que los atacantes utilizan técnicas sofisticadas para engañar a sus víctimas, como la suplantación de identidad, el uso de dominios similares, el aprovechamiento de la confianza o la urgencia, o el envío de archivos adjuntos o enlaces maliciosos.
En muchas ocasiones, el ataque cuenta con un componente muy alto de ingeniería social para personalizar el ataque a la medida de la víctima para que esta pique. Para ello es probable que los ciberatacantes utilicen técnicas procedentes de la Inteligencia Artificial a la hora de traducir el ataque a la lengua local, que añadan información relacionada con el destinatario o que creen imágenes o, incluso, audios convincentes… (Tendencias estas que veremos consolidarse probablemente a lo largo de este 2024).
Además, el spear-phishing tiene consecuencias negativas para las víctimas, tanto a nivel individual como organizacional. El informe muestra que el 55% de los encuestados que experimentaron un ataque de spear-phishing reportaron máquinas infectadas con malware o virus; el 49% comunicaron el robo de datos sensibles, como información personal, financiera o de clientes; el 48% notificaron haber tenido credenciales de acceso robadas, lo que permite a los atacantes tomar el control de las cuentas de correo electrónico o acceder a otros recursos; y el 39% reportaron pérdida directa de dinero, ya sea por transferencias fraudulentas, por extorsiones o por multas.
El informe también señala que las organizaciones tienen dificultades para detectar y responder a los ataques de spear-phishing y que el trabajo remoto aumenta los riesgos y los tiempos de reacción. El informe indica que, de media, las organizaciones tardan casi 100 horas en identificar, responder y remediar una amenaza de correo electrónico, desde que el ataque se produce hasta que se resuelve. De estas horas, 43 se dedican a detectar el ataque, lo que implica revisar los correos electrónicos, verificar su autenticidad y reportarlos; y 56 se dedican a responder y remediar el ataque, lo que implica eliminar los correos maliciosos, restaurar las cuentas comprometidas, recuperar los datos perdidos y evitar futuros ataques. Las empresas con más de un 50% de trabajadores remotos reportan más niveles de correos sospechosos, 12 por día de media, en comparación con las 9 por día de las que tienen menos de un 50% de trabajadores remotos. Además, las primeras también reportan que les lleva más tiempo tanto detectar como responder a los incidentes de seguridad, 55 horas para detectar y 63 horas para responder y mitigar, en comparación con un promedio de 36 horas y 51 horas, respectivamente, para las organizaciones con menos trabajadores en remoto.
Por todo ello, parece evidente que el spear-phishing será una de las amenazas más importantes a la hora de afrontar este 2024 y que, probablemente, el grado de preparación para ello de nuestras empresas, administraciones y usuarios está lejos de ser el adecuado. Entre las recomendaciones para hacerle frente se puede citar el uso de soluciones de seguridad globales y de nueva generación para el correo electrónico que vayan más allá del tradicional antimalware y antispam e incorporen, además y de forma unificada, el uso de inteligencia artificial, la capacitación de los empleados, la implementación de políticas de seguridad y backup de la información, así como herramientas de análisis forense y respuesta ante incidentes que permitan reaccionar con prontitud y eficacia en caso de emergencia.