Todas las empresas necesitan una protección fiable frente a las ciberamenazas, pero tenemos que recordar que un antivirus no es una solución universal. La mayoría de los ataques a empresas se producen por un error humano: por ejemplo, un empleado hace clic en un enlace malicioso, activa una macro y descarga un archivo infectado. En algunos casos, los ciberdelincuentes ni siquiera necesitan utilizar malware: consiguen acceder a la infraestructura de una empresa utilizando únicamente ingeniería social y soluciones de software legales. Veamos un par de ejemplos:
¡Cibercriminales al rescate!
Tenemos malas noticias por parte del grupo Luna Moth, un grupo especializado en el robo de datos corporativos y el uso del chantaje: obtienen información sin necesidad de utilizar malware.
Un ataque a una empresa comienza con el típico correo electrónico fraudulento. Los delincuentes se hacen pasar por representantes de algún servicio online e intentan convencer a los destinatarios de que han contratado una suscripción y que el pago se cargará al día siguiente. Si el empleado quiere cancelar el pago u obtener más información, debe llamar a un número de teléfono que puede encontrar en un archivo adjunto en el correo electrónico.
Parece que aquí está la trampa, ¿no? Pues no. Contra todo pronóstico, el archivo no contiene ningún malware, por lo que es muy probable que el software del antivirus permita al usuario abrirlo. La tarea de los delincuentes en este momento es simplemente hacer que el empleado llame al número de teléfono.
Si lo consiguen, los atacantes convencen a la víctima para que instale una herramienta de acceso remoto (RAT) en su dispositivo con la excusa de “ayudar” al usuario a cancelar la suscripción. Técnicamente, las RAT no son malware, por lo que la mayoría de los antivirus no las bloquean, y solo algunos advierten a los usuarios de los peligros potenciales que conllevan. Como resultado, los delincuentes consiguen el acceso remoto y el control del dispositivo.
Hay que tener en cuenta que en muchos casos los estafadores instalan más de una RAT en el dispositivo, por lo que incluso si se elimina una pueden utilizar otra para mantener el control y volver a instalar la primera. Una vez que tienen el control del ordenador de la víctima, los delincuentes suelen instalar herramientas adicionales para seguir infiltrándose en la infraestructura, acceder a más recursos y extraer datos.
Estafas telefónicas
Recientemente, la empresa estadounidense de telecomunicaciones Verizon ha sido víctima de un suceso todavía más peculiar. Un ciberdelincuente anónimo declaró a Motherboard que había convencido a un empleado de Verizon para que le concediera acceso remoto a un ordenador de la empresa con tan solo afirmar que era miembro del servicio técnico interno. En el ordenador, supuestamente ejecutó una herramienta interna para procesar la información de los empleados y, utilizando un script personalizado, recogió una base de datos que contenía los nombres completos, las direcciones de correo electrónico, las identificaciones de la empresa y los números de teléfono de cientos de personas.
Verizon ha confirmado que el ciberdelincuente se puso en contacto con la compañía y les pidió 250.000 dólares amenazándoles con publicar los datos robados, pero niegan que haya conseguido obtener nada importante. Sin embargo, los periodistas de Motherboard llamaron a algunas de las personas cuyos contactos estaban en la base de datos. Algunas de ellas respondieron y confirmaron sus nombres, direcciones de correo electrónico y empleo en Verizon.
¿Qué podemos aprender de esto?
La moraleja de la historia es sencilla: tu empresa puede tener las soluciones de seguridad más actualizadas, pero si los empleados no están preparados para estos ataques de ingeniería social, tus datos no están seguros. Por eso, una estrategia completa de ciberseguridad debe incluir no solo la instalación de herramientas técnicas de seguridad, sino también la concienciación de los empleados sobre las últimas ciberamenazas y trucos de los ciberdelincuentes. Por ejemplo, una buena opción es a través de una plataforma de educación online.