Es un principio básico de todos los coordinadores ofensivos de fútbol americano: si algo funciona, sigue haciéndolo hasta que la defensa demuestre que puede detenerlo. ¿Tu mejor receptor abierto está superando constantemente al cornerback novato del equipo contrario? Sigue lanzándole el balón. ¿Tu línea ofensiva está abriendo huecos que dan como resultado 7 yardas por carrera en cada jugada? Sigue corriendo con el balón. Por desgracia, los ciberdelincuentes han aprendido la misma lección.
Un informe reciente del Grupo de Trabajo Anti-Phishing (APWG) señaló un aumento intertrimestral del 61 % en los ataques de phishing entre el primer y el segundo trimestre de 2016. El número de ataques entre enero y marzo fue de 289 371, mientras que en los tres meses siguientes aumentó hasta 466 065.
¿Por qué?
Porque si detectas una debilidad en tu oponente, sigue explotándola hasta que demuestre que puede detenerla. El phishing está muy de moda entre los malos... porque funciona.
En una entrada anterior del blog, hablamos del porcentaje de ataques de phishing exitosos (el 84 %) en 2015, una cifra que no debería sorprender a casi nadie en el mundo empresarial, con 100 nuevos correos electrónicos en nuestra bandeja de entrada y 27 minutos para revisarlos antes de la próxima reunión. Incluso aquellos de nosotros que trabajamos en ciberseguridad podemos ser engañados (véase la violación de seguridad de RSA en 2011).
Y lo que más inquieta a los profesionales de la ciberseguridad —o debería inquietarles— sobre el éxito y la consiguiente popularidad de los ataques de phishing es cómo esta técnica neutraliza por completo las defensas de seguridad tradicionales/convencionales en los puntos finales. A los autores de los ataques de phishing les traen sin cuidado las vulnerabilidades SSL, los puertos abiertos, los cortafuegos, etc. Dependen al 100 % del descuido que surge de las apretadas agendas de los empleados típicos de las empresas. Nadie ha desarrollado un software para eliminar eso, y es poco probable que esté disponible pronto.
La apreciación de esta realidad se extiende hasta lo más alto de la escala de la ciberseguridad. Recientemente asistí a la Conferencia Global de Seguridad de Terceros de Aetna 2016 en Orlando, y tuve el placer de escuchar una presentación principal de Brett Leatherman, uno de los principales agentes del FBI en materia de ciberseguridad: «No puedo insistir lo suficiente en la importancia de la detección... nadie puede prevenir el 100 % de los ataques». Dedicó gran parte de su presentación a hablar de lo que él denominó «déficit de detección» y comparó las primeras horas de una intrusión exitosa con las primeras horas de un caso de desaparición de un niño. Cuanto más tiempo pueda el delincuente evitar ser capturado y detenido, menor será la probabilidad de obtener un resultado satisfactorio, ya se trate de ciberdelincuentes o de secuestradores.
El phishing es insidioso no solo porque tiene éxito, sino porque es sutil. Hacer clic en un enlace tóxico en un ataque de phishing bien diseñado no apaga el ordenador del usuario, no genera una alarma ni provoca un incendio. Simplemente inicia un proceso largo y subrepticio que, si se impone a una organización que vive en el pasado y no está preparada para las amenazas actuales, puede provocar daños considerables.
Hasta que el mundo de la ciberseguridad demuestre que puede detenerlo, cabe esperar que el crecimiento intertrimestral de los ataques de phishing se acelere. Por lo tanto, lamentablemente, en un futuro previsible, la labor de planificación estratégica del ciberdelincuente medio será mucho más fácil que la de un coordinador ofensivo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
