En sus comienzos, los ataques de phishing eran a menudo muy simples y se basaban en simular que provenían de fuentes fiables a través de comunicaciones escritas, como correos electrónicos y cartas, para obtener acceso a datos confidenciales. Ante la proximidad del Día Europeo de la Protección de Datos, que tiene lugar el próximo 28 de enero, nos hemos parado a analizar más detenidamente en cómo los atacantes han ido adaptando sus técnicas siguiendo los pasos de la evolución de la IA. Gracias a la creciente popularidad de las herramientas de GenAI, los ataques de phishing basados en la voz -también conocidos como vishing- se han convertido en la nueva práctica habitual y las empresas tienen que enfrentarse a esta evolución modernizando su protección en el campo de las tecnologías de la información.
El phishing como paso previo a un ataque de mayor envergadura
Tenemos que observar el mecanismo de un ataque para comprender el papel que desempeña el phishing en el ámbito del malware. Mientras que el ransomware suele ser el protagonista de todos los titulares una vez que los intrusos son capaces de rentabilizar sus esfuerzos tras entregar con éxito la carga útil al final de un ciclo de infección, hay menos información sobre el ciclo de infección general, que a menudo comienza con algo tan simple como el phishing. La fase de reconocimiento al principio de un ataque, desempeña un papel importantísimo en la estrategia de defensa. Cuando los asaltantes están intentando averiguar cómo es la superficie de ataque de una organización, utilizan el phishing como mecanismo para recopilar información personal confidencial, como credenciales, o intentan descargar un malware de día cero para obtener acceso a una máquina concreta. A medida que los adversarios utilizan las últimas tendencias, como la IA, para engañar a los usuarios, las organizaciones tienen que prestar más atención a la reducción de su superficie de ataque y a la aplicación de mecanismos avanzados de análisis del comportamiento.
Los ataques de phishing se están volviendo más personalizados
El señuelo para el usuario ha evolucionado desde las tradicionales estafas por correo electrónico a ataques mucho más personalizados que utilizan las últimas tecnologías, como herramientas de IA. La creciente concienciación de los usuarios ante las campañas tradicionales de phishing hace que los agresores inventen diferentes canales y técnicas. Más recientemente, las llamadas telefónicas falsas o vishing han ganado popularidad. En estos casos se imita la voz real de un alto ejecutivo con la ayuda de una herramienta de clonación de voz. Estas herramientas definen primero las características de una voz humana y después aplican la IA para entrenar al sistema a imitar la voz al recitar diferentes mensajes. Utilizado junto con las técnicas tradicionales de phishing, el vishing resulta cada vez más complicado para que los usuarios puedan determinar su legitimidad.
Pero no se trata sólo de clonar la voz: la última evolución del phishing, que impactará en 2024, es el quishing. Consiste en enviar por correo electrónico un código QR con un enlace malicioso que se esconde tras la imagen. Esto dificulta su verificación y a menudo las herramientas de seguridad no lo detectan. Esta situación aumenta especialmente el nivel de riesgo para los empleados que utilizan sus propios dispositivos móviles personales, ya que la gran mayoría de ellos no están protegidos adecuadamente. Para contrarrestar la evolución de las técnicas de phishing, es esencial hacer que la confianza cero sea la solución de seguridad estándar preferente. Pero una mentalidad de confianza cero no es algo que deba adoptarse únicamente a nivel tecnológico, sino también a nivel humano.
Nunca te fíes, realiza siempre una verificación
Las empresas tienen que adecuar sus estrategias de ciberseguridad para atajar eficazmente la creciente amenaza que supone el phishing sofisticado y proteger los datos sensibles con la ayuda de una verdadera estrategia de confianza cero. Los empleados se fían demasiado de las soluciones de seguridad disponibles y no son lo suficientemente precavidos cuando reciben comunicaciones sospechosas. Una llamada telefónica de una persona que crees conocer, pero con una petición que parece inusual o inesperada, debe verificarse siempre. Antes de actuar, el usuario debe intentar autenticar a esa persona. En el actual entorno de trabajo híbrido, en el que la interacción cara a cara no siempre es factible, es muy aconsejable utilizar otro canal para verificar la información inicial. Por ejemplo, si una posible llamada de vishing se produce a través de WhatsApp, conviene que el usuario descuelgue el teléfono, envíe un mensaje de Slack o utilice el correo electrónico para verificar que el compañero que habla por teléfono con nosotros es quien se supone que es. Además, para garantizar la seguridad de la cuenta y evitar más situaciones comprometidas, los empleados deben evitar compartir datos personales o contraseñas por teléfono o correo electrónico, en caso de que se les solicite. Nadie internamente debería necesitar utilizar la contraseña de otro miembro para acceder a datos o activos del sistema, por lo que no hay necesidad de compartir este tipo de detalles con nadie más.
La suplantación de identidad es a menudo el inicio de la operación, motivo por el que debería recibir más atención, y no sólo con motivo del Día Europeo de la Protección de Datos. Las empresas han de preocuparse por las nuevas potencialidades de la IA para intensificar los ataques de suplantación de identidad. Al admitir y tratar estos desafíos de forma frontal, las organizaciones consiguen fomentar una cultura de ciberseguridad más sólida y proteger los datos confidenciales de forma eficaz. El objetivo debe ser introducir una mentalidad de confianza cero en las personas, lo que supone formar al equipo para que no confíe automáticamente en ninguna fuente de información, sino que la verifique siempre a través de otro mecanismo. Y esto será todavía más importante si tenemos en cuenta que la IA está llamada a desempeñar un papel fundamental en las campañas de desinformación en los próximos años.
Tony Fergusson, CISO EMEA en Zscaler
