Clicky

Con Crime-as-a-Service, cualquiera puede ser un atacante

Crime-as-a-Service (CaaS)

Se utiliza a menudo para crear ataques de phishing

Crime-as-a-Service (CaaS) es la práctica de ciberdelincuentes experimentados que venden acceso a las herramientas y el conocimiento necesarios para ejecutar el ciberdelito; en particular, se utiliza a menudo para crear ataques de phishing.

Para los hackers el phishing es una de las formas más fáciles de robar los datos de una organización. Tradicionalmente, la ejecución de una campaña de phishing exitosa requería un ciberdelincuente experimentado con experiencia técnica y conocimiento de ingeniería social. Sin embargo, con la aparición de CaaS, casi cualquier persona puede convertirse en un maestro del phishing por una pequeña tarifa.

Los proveedores de CaaS ofrecen todo lo que necesita el atacante aficionado para crear su propio ataque de phishing exitoso, desde detalladas listas de objetivos hasta plantillas de correo electrónico de marca. Los atacantes pueden incluso pagar por el acceso a servidores comprometidos para ocultar más fácilmente sus pistas. Al eliminar muchas de las barreras de entrada, esta tendencia ha facilitado la creación de un eficaz ataque de phishing. Y ese es un gran problema para las organizaciones a las que se dirige.

¿Por qué deberían preocuparse las organizaciones?

Crime-as-a-Service ha hecho del phishing un método de ataque aún más atractivo para los ciberdelincuentes, haciéndolo más accesible y menos laborioso. ¿Por qué pasar meses buscando las vulnerabilidades de seguridad de una organización cuando puedes atacarlas con un ataque de phishing listo para usar? También ha hecho que las campañas de phishing sean más fácilmente escalables porque los delincuentes requieren menos tiempo y esfuerzo para ejecutar sus ataques.

CaaS tiene ventajas técnicas: al usar plantillas descargables, los atacantes con poco conocimiento pueden crear ataques evasivos que tienen más probabilidades de llegar a la bandeja de entrada de los empleados. Utilizan avanzados métodos como el cifrado de contenido, el bloqueo de inspección y las URL ocultas en los archivos adjuntos para evadir la detección. Con atacantes capaces de ejecutar un gran volumen de ataques técnicamente sofisticados, es clara la amenaza para las organizaciones.

Es preocupante que estas campañas no solo sean fáciles de ejecutar, sino que también son muy eficaces.

Los ataques de phishing ejecutados con herramientas CaaS están diseñados para explotar a los empleados, lo que dificulta que las organizaciones los mitiguen. Utilizan tácticas de ingeniería social para engañar a los usuarios finales, a menudo generando confianza y creando urgencia para responder rápidamente. Pueden usar inteligencia de código abierto, recopilando datos de los sitios web de la empresa, los perfiles de las redes sociales y las pasadas filtraciones de datos para crear creíbles campañas de spear-phishing.

Antes de Crime-as-a-Service, un ataque llevado a cabo por un atacante de nivel de entrada probablemente estaría mal diseñado y sería torpe, fácilmente bloqueado por filtros de spam o identificado por un empleado. Pero con acceso a las plantillas y los conocimientos técnicos de un atacante experimentado, el delincuente aficionado puede llevar a cabo campañas eficaces desde el primer día.

Las consecuencias de un solo ataque de phishing exitoso pueden ser perjudiciales para la organización objetivo. Los costos financieros pueden acumularse rápidamente, desde el costo de remediar la infracción en sí hasta las multas reglamentarias y, en algunos casos, la compensación pagada a los interesados. También existe la posibilidad de pérdidas financieras debido a la interrupción del negocio, especialmente si el correo electrónico de phishing contiene software malicioso. Más allá de esto, las organizaciones afectadas por el phishing enfrentan daños a la reputación que pueden debilitar la confianza del cliente y manchar su marca a largo plazo.

¿Cómo pueden protegerse las organizaciones?

Muchas organizaciones ven la formación sobre concienciación sobre la seguridad como la mejor forma de proteger a sus empleados contra el phishing. La capacitación puede proporcionar a los empleados el conocimiento para detectar un ataque de phishing, pero la primera respuesta de muchos empleados a un correo electrónico malicioso es actuar primero y pensar después. Esto es especialmente cierto para los empleados estresados, distraídos y ocupados, que simplemente están tratando de hacer su trabajo rápidamente.

Solo cuando más tarde se detienen a considerar el correo electrónico, se activa el conocimiento de la capacitación. Por eso es vital que las organizaciones respalden la capacitación en conciencia de seguridad con las soluciones tecnológicas adecuadas.

Para proteger verdaderamente a los empleados de la amenaza del phishing, las organizaciones deben buscar la seguridad de la capa humana. La tecnología inteligente que adopta un modelo de confianza cero ofrece el más alto nivel de protección al analizar el contenido de cada correo electrónico antes de que llegue a la bandeja de entrada del usuario.

Además, las soluciones que utilizan el aprendizaje automático y el procesamiento del lenguaje natural (NLP) pueden detectar de manera más efectiva las amenazas de phishing avanzadas que las soluciones estáticas, como las puertas de enlace de correo electrónico seguras (SEGs) e incluso las herramientas más nuevas que dependen en gran medida de los gráficos sociales. Las herramientas con funcionalidad NLP pueden detectar incluso los ataques más sofisticados, incluidos aquellos que han utilizado cuentas comprometidas o han utilizado inteligencia de código abierto para hacer que sus ataques sean más convincentes.

La adecuada tecnología puede incluso respaldar y mejorar las iniciativas de capacitación en conciencia de seguridad existentes, con aprendizaje activo integrado para señalar los intentos de phishing al usuario. Esto lleva la capacitación más allá de un enfoque de un solo toque y ayuda a los empleados a mantenerse comprometidos y educados a largo plazo.

Crime-as-service ha hecho que sea más fácil que nunca para los atacantes llevar a cabo peligrosas campañas de phishing, y los equipos de seguridad deben permanecer atentos ante el creciente volumen de ataques avanzados. Las organizaciones deben asegurarse de que están utilizando la tecnología adecuada para proteger a su gente y sus datos de esta nueva generación de ciberdelincuentes.

Jesus_Caceres