El informe Anual de Investigaciones de Violaciones de Datos (DBIR) de Verizon Business ha dejado claro que los ciberataques siguen aumentando. Sin embargo, una de las principales causas de que estos tengan éxito está en los errores humanos, especialmente los que se producen como consecuencia de las prácticas de ingeniería social de los actores de amenazas.
En 2021, un estudio de Exsel ya señalaba que el 95% de los incidentes de ciberseguridad de las PYMES tenían su origen en los fallos humanos. Ahora, el informe de Verizon Business vuelve a poner de manifiesto esta realidad, pero, en este caso, afirma que en el 74% de las brechas de datos se produjeron por esta razón.
“El 74% de todas las infracciones incluyen el elemento humano, con personas involucradas ya sea por error, uso indebido de privilegios, uso de credenciales robadas o ingeniería social”, explican.
Evidentemente, en la mayoría de los casos, estos errores son sólo eso, es decir, accidentes que no se producen a propósito y, aunque sí que puede haber personal dentro de la empresa que pueda poner en riesgo su seguridad a sabiendas, se trata de algo muy minoritario.
Y es que no es ninguna sorpresa que, según los datos, el 83% de los incidentes tengan detrás a actores externos a las organizaciones; mientras que los ataques internos (es decir, los del personal de una compañía) sólo representan el 19%. Aunque, como comentamos, en esta última cifra, la mayoría de las veces no se producen a propósito.
El ransomware se estanca, pero su coste se duplica
También hay que señalar que el 83% de todas las violaciones de datos responden a motivos financieros, siendo el espionaje -a mucha distancia- el segundo objetivo de los piratas informáticos. Algo que era de esperar, teniendo en cuenta el auge del ransomware y la sofisticación de las bandas criminales en los últimos tiempos.
Sin embargo, pese a este aumento en los casos de ransomware en los últimos años, ahora, como asegura Verizon, “en realidad no ha crecido, sino que se mantiene estadísticamente estable en un 24%”.
Y si bien parece una buena noticia, lo cierto es que, aunque su volumen no haya crecido, el coste derivado de este problema para las empresas se ha duplicado: al 95% de las víctimas empresariales les ha supuesto pérdidas de entre 1 millón y 2,25 millones de dólares. En definitiva, no debemos dejar de ser cautos. De hecho, para el 91% de las compañías, la lucha contra el ransomware sigue siendo una de sus principales prioridades.
La ingeniería social o el arte del engaño
Dejando a un lado este tema, debemos volver al que nos ocupaba al principio. Gran parte de los incidentes de seguridad se deben a errores humanos y esto es sobre todo una consecuencia de las prácticas de ingeniería social de los ciberdelincuentes.
Como ya sabemos, su intención es manipular a las potenciales víctimas haciéndose pasar en muchos casos por organizaciones legítimas o incluso personas cercanas. Su principal artimaña es generarles una sensación de urgencia para que no tengan demasiado tiempo para plantearse la autenticidad del mensaje.
De esta forma, los actores de amenazas pueden obtener información confidencial de una compañía o conseguir sus credenciales para posteriormente acceder a sus sistemas y poner en riesgo su seguridad o incluso su reputación si encuentran datos demasiado sensibles.
El phishing es una de las tácticas de ingeniería social más conocidas siendo los correos electrónicos (Business Email Compromise) su principal vía de entrada, pero actualmente, es el segundo de la lista en los incidentes relacionados con esta modalidad. Y es que, actualmente, representa el 44% de los casos, siendo el pretexting el más común, ya que supera el 50%, casi el doble del año pasado.
El auge del pretexting
Pero ¿en qué consiste el pretexting? Según INCIBE, “consiste en elaborar un escenario o historia ficticia, donde el atacante tratará de que la víctima comparta información que, en circunstancias normales, no revelaría.” Es decir, en utilizar un pretexto -valga la redundancia- para conseguir que la víctima acceda a las peticiones de los ciberdelincuentes al creer que provienen de una persona u organización de confianza.
De media, los beneficios obtenidos por los piratas informáticos gracias a esta técnica de ingeniería social han aumentado hasta los 50.000 dólares en los últimos años, por lo que es muy importante informar a todos los empleados sobre sus riesgos.
“Los ingenieros sociales más convincentes pueden meterse en tu cabeza y convencerte de que alguien a quien amas está en peligro. Usan la información que han aprendido sobre usted y sus seres queridos para engañarlo y hacerle creer que el mensaje es realmente de alguien que conoce. Y utilizan este escenario inventado para jugar con sus emociones y crear una sensación de urgencia”, señalan desde Verizon Business.
Imagen de Andrea Piacquadio en Pexels