Imagina que recibes un correo electrónico desde el dominio de un socio internacional de tu organización.

El correo contiene un adjunto que dice “brochure”. En un principio no lo descargas porque no estabas esperando un correo de ese contacto, pero un segundo email desde el mismo dominio confirma la recepción y te insta a descargar el documento para que revises la información. Verificas la identidad de los remitentes y te tranquiliza que tengan vínculos a cuentas de LinkedIn, correos corporativos, hasta artículos y publicaciones académicas.

Esa interacción con dos supuestas personas de la misma organización podría ser fraudulenta, las cuentas en redes sociales podrían estar siendo suplantadas, y ese documento podría ser malware.

¿Sabrías reconocer un caso de suplantación de identidad multipersona?

En la industria de la ciberseguridad comenzamos el año con algunas buenas noticias: bajó el monto mundial de pagos por secuestro de datos.

En gran parte, porque las organizaciones atacadas están siguiendo las instrucciones de los expertos y negándose a negociar con las pandillas de ransomware, mientras se apoyan en estrategias de ciber-resiliencia cada vez más robustas para mitigar los daños de un ataque como la encriptación de datos.

Eso significa que los cibercriminales buscarán nuevas formas para lograr su cometido, apuntando a engañar víctimas cada vez más específicas, con información obtenida de primera fuente.

Eso es el Spear-Phishing, una técnica de ingeniería social en la que se selecciona a una persona específica, y se desarrolla una estrategia focalizada para obtener de ella datos de login, información confidencial, documentos de acceso restringido, acceso a cuentas bancarias, o las de su organización.

Para eso, los cibercriminales estudian a su víctima: su comportamiento en redes sociales, sus hábitos de consumo, las personas con las que interactúa online, podrían llegar a hacerse pasar por periodistas o entrevistadores, y hasta construir una verdadera “amistad” con su víctima a través de un avatar falso para lograr su objetivo.

En general, este tipo de ataques se despliegan con suplantación de identidad, y se dirigen a personas de alta responsabilidad, como gerentes, investigadores, políticos, directores y presidentes de compañías. Mientras más visible sea la víctima, mejor es para el atacante.

El ataque podría llegar desde una casilla de correo de un proveedor conocido siendo suplantados, o cuyo dominio o accesos pueden estar intervenidos, podría venir incluso desde su mismo dominio, logrando engañar a la víctima para que entregue accesos, o descargue malware.

Para añadir complejidad a la identificación de este tipo de ataques y dar credibilidad a los correos electrónicos maliciosos los cibercriminales utilizan más de una identidad suplantada.

Eso quiere decir qué, una víctima podría estar en una cadena de correos electrónicos con varios integrantes de la misma red de fraude electrónico, o interactuando en una red social con más de una persona falsa, disipando cualquier sospecha que tenga la víctima con la credibilidad que otorga un grupo.

Analistas de ciberseguridad advierten que grupos de ciberespionaje geopolítico utilizan la suplantación de identidad multi-persona

El grupo iraní TA453 está llevando a cabo ciberespionaje contra investigadores mediante la creación de sofisticados señuelos de spear phishing que utilizan varias personas falsas dentro de la misma cadena de correo electrónico para aumentar la credibilidad.

SEABORGIUM y TA453 atacaron varios sectores en el 2022, incluyendo universidades, organizaciones de defensa, instituciones de gobierno, ONGs, think-tanks, políticos, periodistas y activistas.

Recientemente, expertos en respuesta a incidentes han informado que APT42 actúa en nombre de la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (IRGC-IO) y se especializa en ingeniería social altamente dirigida.

Según los investigadores, a partir de las campañas de mediados de 2022, TA453 ha llevado su ingeniería social dirigida a un nuevo nivel, apuntando a los investigadores no sólo con una persona controlada por un actor, sino con varias. Esto les permite aprovechar el principio psicológico de la prueba social para aumentar la autenticidad del spear phishing del actor de la amenaza.

¿Cómo proteger a tu organización del spear-phishing y el cibercrimen especializado?

Por un lado, es importante implementar tecnologías de seguridad avanzadas, como firewalls, soluciones antimalware y herramientas de monitoreo de red, para detectar y bloquear posibles ataques. También es importante verificar y monitorear que el software y los sistemas estén actualizados con los últimos parches de seguridad.

Así mismo, es recomendable implementar políticas de seguridad de la información, como la autenticación multifactor, el monitoreo de actividad sospechosa y la segmentación de red, para reducir la superficie de ataque y minimizar el riesgo de exposición de datos.

Por otro lado, es fundamental crear una cultura de seguridad dentro de la empresa a través de programas de concientización y capacitación. Todos los trabajadores y trabajadoras deben estar informados sobre los diferentes tipos de ataques de ingeniería social y cómo detectarlos, así como sobre las políticas y procedimientos de seguridad de la empresa. Además, se deben realizar simulaciones de ataques para entrenar a los empleados sobre cómo responder ante posibles amenazas.

Pero, el diseño de una estrategia de Ciber Resiliencia sólida conlleva más que levantar defensas, implica también estar preparados para cuando un ataque ocurra.

Ninguna empresa podrá evitar ser objeto de ataques, cuando todo tipo de organizaciones, de todos los tamaños, están siendo atacadas a través de distintos flancos constantemente. Pero sí se puede prevenir que el ataque cause daños e interfiera en las operaciones críticas.

Fuente: UK National Cyber Security Centre

Fuente: Xataka / Imágenes: Waze