Esa es solo una de las muchas estad\u00edsticas alarmantes que revelan cu\u00e1n devastador ha sido el phishing en el pasado reciente tanto para las personas como para las empresas. Los eventos recientes, los desarrollos tecnol\u00f3gicos (IA y falsificaci\u00f3n profunda) y los datos circundantes indican de manera preocupante, como descubrir\u00e1 en este art\u00edculo, que la amenaza del phishing podr\u00eda volverse a\u00fan m\u00e1s grande y m\u00e1s insidiosa de lo que ya es.<\/p>\n
Y es posible que no estemos completamente preparados para eso.<\/p>\n
Estad\u00edsticas de phishing: el da\u00f1o causado<\/h2>\n
Comparte esta imagen en tu sitio<\/strong><\/p>\n Las estad\u00edsticas de phishing muestran una tendencia al alza, un aumento inconfundible que no se ha observado en los \u00faltimos 3 a\u00f1os. Greg Aaaron, investigador s\u00e9nior del APWG, dijo: "Este es el peor per\u00edodo para el phishing que el APWG ha visto en tres a\u00f1os, desde el cuarto trimestre de 2016".<\/p>\n Seg\u00fan Verizon<\/a>, el 32% de las violaciones de datos reportadas en 2018 fueron el resultado de ataques de phishing. Esto empeor\u00f3 a\u00fan m\u00e1s en 2019 con el phishing responsable del 90%<\/a> de las filtraciones de datos<\/strong>. Las estad\u00edsticas sugieren que los piratas inform\u00e1ticos a\u00fan conf\u00edan predominantemente en la ingenier\u00eda social y los trucos de confianza en lugar de la fuerza bruta y otros ataques m\u00e1s sofisticados para acceder a informaci\u00f3n confidencial de usuarios\/empresas.<\/p>\n La efectividad y la alta tasa de \u00e9xito de los ataques de phishing para los ciberdelincuentes tambi\u00e9n se pueden estimar por el hecho de que cada mes se crean hasta 1,5 millones de sitios web de phishing .<\/a><\/strong> Una actividad tan extraordinariamente alta solo puede sostenerse si los agentes detr\u00e1s del phishing se benefician generosamente de ella.<\/p>\n De hecho, a nivel empresarial, las p\u00e9rdidas promedio sufridas por las empresas medianas comprometidas con el phishing es de 1,6 millones de d\u00f3lares<\/a>.<\/strong> No es de extra\u00f1ar que el phishing tenga un lugar especial en el coraz\u00f3n de cada hacker.<\/p>\n El \u00e9xito duradero del phishing es simplemente el resultado de nuestra tendencia humana a sentirnos tentados a realizar una acci\u00f3n, especialmente cuando confiamos en la fuente.<\/p>\n Salvatore Stolfo, CTO de Alluresecurity<\/a>, observa acertadamente:<\/p>\n Es cierto que los adversarios pueden aplicar ingenier\u00eda inversa a la IA y convertirla en arma para atacar a las personas con ataques cibern\u00e9ticos. Pero la realidad es que, cuando se trata de phishing, los atacantes ni siquiera necesitan ser tan expertos en tecnolog\u00eda para tener \u00e9xito. Y es por eso que el phishing sigue perdurando como principal vector de ataque. Aprovecha nuestro instinto b\u00e1sico de confiar y hacer clic en un enlace que creemos que proviene de una fuente leg\u00edtima, como su banco, o una marca que conoce y en la que conf\u00eda, como Microsoft, Netflix o PayPal.<\/p>\n<\/blockquote>\n Los m\u00e9todos y estrategias para el phishing solo se volver\u00e1n m\u00e1s sofisticados con el tiempo. De hecho, las mejoras en las t\u00e9cnicas ya son evidentes, lo que apunta a un entorno de ciberseguridad gravemente precario en los tiempos venideros.<\/p>\n<\/p>\n Comparte esta imagen en tu sitio<\/strong><\/p>\n Ya hemos sido testigos de cambios en las normas en lo que respecta al phishing por correo electr\u00f3nico. Tradicionalmente, el enfoque de escopeta se emplea m\u00e1s com\u00fanmente cuando el pirata inform\u00e1tico quiere atraer a la mayor cantidad de personas posible. Pero es mucho m\u00e1s probable que los ataques a la seguridad empresarial tengan \u00e9xito cuando se realizan de manera dirigida, una t\u00e9cnica conocida como phishing selectivo.<\/p>\n Cisco afirma que<\/a> el 95 % de todos los ataques a las redes de seguridad empresarial son posibles gracias al phishing selectivo. En un ataque de spear-phishing, un pirata inform\u00e1tico puede hacerse pasar por un miembro real, a menudo de alto perfil, de una organizaci\u00f3n o industria en un intento de enga\u00f1ar al receptor del correo electr\u00f3nico para que divulgue su informaci\u00f3n.<\/p>\n Los correos electr\u00f3nicos de spear-phishing se aprovecharon al m\u00e1ximo como el principal m\u00e9todo de infecci\u00f3n utilizado por el 71%<\/a> de los grupos de piratas inform\u00e1ticos en 2017. La alta tasa de \u00e9xito del spear-phishing es simplemente el resultado de una suplantaci\u00f3n de identidad mejor disimulada, que atrae incluso a los m\u00e1s cuidadosos entre nosotros. siendo estafado.<\/p>\n Dennis Bell, experto en TI y fundador de Byblos Coffee,<\/a> predice que:<\/p>\n En 2021, el Spear phishing ser\u00eda m\u00e1s frecuente… La IA y el ML se pueden usar para identificar los mejores objetivos en funci\u00f3n de lo que hacen en l\u00ednea. Incluso pueden recopilar informaci\u00f3n sobre qui\u00e9n tiene m\u00e1s acceso en su red corporativa. Una vez que AI y ML crean perfiles, pueden comenzar a enviar materiales de phishing personalizados seg\u00fan las vulnerabilidades del objetivo.<\/p>\n<\/blockquote>\n El abuso de la IA y el desarrollo resultante de tecnolog\u00edas como una falsificaci\u00f3n profunda es otro duro golpe a nuestras esperanzas de una Internet libre de phishing. Antes de la IA, los phishers solo pod\u00edan disfrazarse detr\u00e1s de correos electr\u00f3nicos y sitios web ingeniosamente dise\u00f1ados. Con IA y deep fake, incluso pueden hacerse pasar por la cara y la voz de cualquier persona que elijan, dando a los fraudes de ingenier\u00eda social una dimensi\u00f3n completamente nueva.<\/p>\n Kim Martin, vicepresidente de marketing<\/a> de la empresa de biometr\u00eda ID R&D<\/a>, se\u00f1ala:<\/p>\n Los estafadores utilizan el aprendizaje autom\u00e1tico y la inteligencia artificial para realizar sofisticados ataques de phishing en los que se hacen pasar por usuarios reales autorizados mediante avances en el habla sint\u00e9tica. En un escenario reciente involucr\u00f3 una voz "deep fake" que enga\u00f1\u00f3 a un CEO para que transfiriera $ 243,000 a un proveedor h\u00fangaro. El CEO pens\u00f3 que la solicitud proven\u00eda de su jefe. Con estas capacidades, los estafadores han encontrado un nuevo veh\u00edculo para la ingenier\u00eda social y una manera de pasar la autenticaci\u00f3n basada en datos biom\u00e9tricos si no se cuenta con las protecciones adecuadas.<\/p>\n<\/blockquote>\n Los avances en el procesamiento del lenguaje natural abren otra v\u00eda para los actores de amenazas. El uso del aprendizaje autom\u00e1tico para redactar correspondencia oficial dise\u00f1ada para estafar al personal comercial es una posibilidad muy real en la actualidad y es casi seguro que ser\u00e1 m\u00e1s frecuente en el futuro.<\/p>\n El procesamiento del lenguaje natural es uno de los campos investigados m\u00e1s activamente en IA, capaz de comprender los lenguajes humanos y comunicarse de manera efectiva utilizando los mismos. A medida que estas capacidades mejoren con el tiempo, notar la diferencia entre el lenguaje originado por humanos y por m\u00e1quinas ser\u00e1 un gran desaf\u00edo. Como destaca el experto en privacidad digital Attila Tomaschek<\/a> :<\/p>\n un ciberdelincuente podr\u00eda inyectar una pieza de malware en un hilo de correo electr\u00f3nico existente que tiene la capacidad de aprovechar AI y ML para analizar el idioma y el contexto del hilo para aprender y emular el lenguaje humano natural y, por lo tanto, personalizar correos electr\u00f3nicos de phishing que suenan naturales y convincentes. a objetivos individuales". Tambi\u00e9n se\u00f1ala c\u00f3mo los chatbots impulsados \u200b\u200bpor IA pueden enga\u00f1ar a las v\u00edctimas para que hagan clic en enlaces maliciosos.<\/p>\n<\/blockquote>\n El hecho m\u00e1s alarmante entre todos estos es que esta no es una predicci\u00f3n futurista que est\u00e1 demasiado lejos del presente para empezar a preocuparse. Estas son capacidades muy reales que ya existen en un grado casi aterrador.<\/p>\n El aprendizaje autom\u00e1tico tambi\u00e9n puede hacer que los ataques de phishing sean indetectables. Con el tiempo, el correo electr\u00f3nico puede aprender a eludir los filtros de correo electr\u00f3nico, utilizando un lenguaje cada vez m\u00e1s realista para parecer completamente leg\u00edtimo. Sobre esto, Will Pearce, consultor s\u00e9nior de seguridad en Silent Break Security,<\/a> comparte<\/p>\n Adversarial Machine Learning tiene la capacidad de hacer que los intentos de phishing sean indetectables: una investigaci\u00f3n publicada en 2019 llamada ‘Proof-Pudding' hizo exactamente esto. El filtro de spam de Proofpoint estaba filtrando puntajes de predicci\u00f3n de spam, la investigaci\u00f3n recopil\u00f3 un conjunto de datos y entren\u00f3 un modelo para generar palabras que garantizar\u00edan que los correos electr\u00f3nicos de phishing no fueran "detectados". Los sistemas de aprendizaje autom\u00e1tico son una nueva superficie de ataque que generalmente no se comprende bien.<\/p>\n<\/blockquote>\n Teniendo en cuenta que se pueden usar algoritmos simples para determinar incluso piezas de informaci\u00f3n ocultas en los perfiles de Facebook<\/a>, la combinaci\u00f3n de deep fake y ML antag\u00f3nico ampliar\u00e1 significativamente el rango de ataques a disposici\u00f3n de un phisher promedio.<\/p>\n Un ataque hom\u00f3grafo se aprovecha del hecho de que muchas letras del alfabeto de la mayor\u00eda de los idiomas modernos son similares. Por ejemplo, la letra B es \u03b2 en griego. Sabiendo esto, un sitio web de phishing malicioso puede usar un nombre de dominio que se parece exactamente a otro dominio leg\u00edtimo. La diferencia de un car\u00e1cter peque\u00f1o a menudo es imposible de notar, especialmente en las pantallas de dispositivos port\u00e1tiles m\u00e1s peque\u00f1os como los tel\u00e9fonos inteligentes.<\/p>\n Por ejemplo: https:\/\/www.the\u00edndependent.com\/<\/a> se diferencia del dominio de The Independent en un solo car\u00e1cter: la ‘\u00ed' por la ‘i'. Estos dominios similares solo se suman al arsenal de t\u00e9cnicas a disposici\u00f3n de los phishers modernos.<\/p>\n Comparte esta imagen en tu sitio<\/strong><\/p>\n Las capacidades tecnol\u00f3gicas representan solo un \u00e1rea de oportunidad entre varias que los phishers est\u00e1n aprovechando para lanzar ataques cibern\u00e9ticos cada vez m\u00e1s devastadores. Aprovechando el p\u00e1nico creado por el misterioso coronavirus, los estafadores est\u00e1n lanzando campa\u00f1as de phishing para enga\u00f1ar a las personas para que hagan clic en enlaces maliciosos y brinden informaci\u00f3n confidencial.<\/p>\n El caso m\u00e1s notable de este tipo de vulnerabilidades de phishing fue informado por Kaspersky,<\/a> donde los correos electr\u00f3nicos de phishing que pretenden ser enviados por los CDC roban su informaci\u00f3n cuando hace clic en un enlace que solicita su inicio de sesi\u00f3n de Outlook. Los correos electr\u00f3nicos se originan en un dominio cdc-gov.org, aunque el dominio del CDC leg\u00edtimo es cdc.gov.<\/p>\n Baste decir que es extremadamente dif\u00edcil para un usuario promedio notar esta diferencia en el dominio y sospechar fraude, especialmente cuando el correo electr\u00f3nico est\u00e1 redactado de manera tan convincente con enlaces externos que parecen leg\u00edtimos. Por supuesto, no hay nada leg\u00edtimo en todo el correo electr\u00f3nico en realidad.<\/p>\n Estas t\u00e1cticas extraen su eficacia del p\u00e1nico que rodea la situaci\u00f3n (en este caso, el coronavirus), donde la incertidumbre y la urgencia prevalecientes pueden provocar un cortocircuito incluso en el juicio de un hombre sabio. Contra las amenazas de la vida real, el peligro de los ataques cibern\u00e9ticos, sin importar cu\u00e1n real sea, es distante y perif\u00e9rico en el mejor de los casos.<\/p>\n Las elecciones estadounidenses de 2021 se presentar\u00e1n como otra oportunidad para que los phishers se dediquen a sus malos negocios como lo hicieron en las elecciones anteriores. Como se\u00f1ala perspicazmente Orion Casetto, director de marketing<\/a> de productos de Exabeam<\/a><\/p>\n El phishing no va a desaparecer pronto. El fervor que rodea a las elecciones presidenciales de EE. UU. de 2021 proporciona a los posibles atacantes el entorno perfecto para ejecutar campa\u00f1as de phishing e ingenier\u00eda social. Muchas personas son apasionadas, est\u00e1n listas para actuar y reciben una avalancha de comunicaci\u00f3n de nuevas fuentes; esta es una tormenta perfecta que deja una amplia oportunidad para que las personas sean v\u00edctimas de correos electr\u00f3nicos de phishing bien elaborados disfrazados de comunicaciones de organizaciones pol\u00edticas y candidatos.<\/p>\n<\/blockquote>\n Estos eventos de importancia, junto con la asistencia de la IA, solo alentar\u00e1n a los phishers y estafadores a implementar campa\u00f1as extremadamente perniciosas dirigidas contra todos los sectores de la sociedad, desde el individuo hasta las organizaciones de todos los tama\u00f1os.<\/p>\n La mejor defensa contra el phishing sigue siendo su simple juicio, inteligencia, sentido com\u00fan y cautela. Desafortunadamente, en un mundo acelerado donde la capacidad de atenci\u00f3n de las personas disminuye y la paciencia es a\u00fan menor, se est\u00e1 convirtiendo en un gran desaf\u00edo tener cuidado y precauci\u00f3n antes de cada enlace en el que hace clic y cada sitio web que visita.<\/p>\n Esta es la raz\u00f3n por la que el software antiphishing tambi\u00e9n est\u00e1 ganando importancia para ayudar a los humanos con un juicio falible. No obstante, algunos consejos de sentido com\u00fan a\u00fan pueden evitar que se convierta en la pr\u00f3xima v\u00edctima de phishing.<\/p>\n Estas son algunas precauciones que puedes tomar como usuario. Pero las organizaciones de todo tipo tienen una responsabilidad a\u00fan mayor para abordar el phishing de manera m\u00e1s efectiva. Pueden comenzar actualizando sus sistemas inform\u00e1ticos heredados vulnerables a otros modernos y actualizados como l\u00edder del equipo de inteligencia de amenazas en Skybox Security<\/a>, subraya Sivan Nir.<\/p>\n El informe del NCSC de 2019 descubri\u00f3 que m\u00e1s de 318 redes p\u00fablicas se ejecutan en Windows XP a pesar de que Microsoft dej\u00f3 de brindarle soporte en 2014. Dado que las empresas conf\u00edan en software "heredado" y los ciberdelincuentes utilizan IA y ML para mutar su malware, los ataques de phishing se vuelven casi invisibles para un los ojos de la compa\u00f1\u00eda y a\u00fan m\u00e1s devastador.<\/p>\n<\/blockquote>\n Stolfo se\u00f1ala que la mayor\u00eda de los phishers suelen utilizar web scraping para imitar el dominio leg\u00edtimo. Recomienda incrustar un c\u00f3digo en el sitio web original que permita a los webmasters rastrear y detectar si su sitio web ha sido extra\u00eddo, llev\u00e1ndose consigo el c\u00f3digo incrustado. Luego, este c\u00f3digo activa una alerta y recopila informaci\u00f3n sobre el pirata inform\u00e1tico, como su geolocalizaci\u00f3n, para ayudar a rastrear el origen del problema.<\/p>\n Si bien estas medidas son importantes para que las empresas mejoren su resiliencia frente a los ataques de phishing, no hay sustituto para la concienciaci\u00f3n del usuario como la estrategia preventiva m\u00e1s eficaz para abordar el phishing. En su forma m\u00e1s b\u00e1sica, el phishing es esencialmente un elaborado truco de confianza.<\/p>\n\n
M\u00e9todos en evoluci\u00f3n – Phishers on the Storm<\/h2>\n
suplantaci\u00f3n de identidad (spear-phishing)<\/h3>\n
\n
Falsificaciones profundas e IA<\/h3>\n
\n
\n
\n
Ataques hom\u00f3grafos<\/h3>\n
El futuro por venir: corona, elecciones estadounidenses y abusos de la tecnolog\u00eda<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e692b8fe.png\")
<\/a><\/p>\n\n
Preparaci\u00f3n para un brote de phishing<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e6a88a99.png\")
<\/a><\/p>\nComparte esta imagen en tu sitio<\/h3>\n
Consejos para los usuarios<\/h3>\n
\n
El papel de las organizaciones<\/h3>\n
\n