Tres lecciones que podemos extraer de la pérdida de 100 millones de dólares que sufrieron Facebook y Google a causa de un ataque de spear phishing

Enero 21, 2020
Kaseya
Tecnología en nube, Suplantación de identidad

La BBC informó recientemente de que Facebook y Google transfirieron por separado más de $100 millones de dólares a un único hacker en Lituania. Aunque se trata de gigantes corporativos mundiales, hay lecciones para todos sobre ciberseguridad en 2017.

  1. Un hacker solitario puede causar grandes pérdidas económicas
  2. Por muy sofisticada que sea su defensa de la ciberseguridad, corre riesgos
  3. El spear phishing y la ingeniería social eluden las medidas de seguridad de la red y de los dispositivos finales

Ciberdelincuentes que se hacen pasar por proveedores

Facebook y Google no son tan especiales a la hora de caer en este tipo de estafas. No hace mucho, Ubiquiti Networks sufrió una estafa de $47 millones de dólares basada en un ataque de ingeniería social similar. La BBC describió el método que acabó con Facebook y Google.

«Se enviaron correos electrónicos fraudulentos de phishing a empleados y agentes de las empresas afectadas, que realizaban habitualmente transacciones multimillonarias con la empresa [asiática]», declaró en marzo el (DOJ) en marzo.

Según el Departamento de Justicia, estos correos electrónicos fingían proceder de empleados de la empresa con sede en Asia y se enviaron desde cuentas de correo electrónico diseñadas para que pareciera que procedían de la empresa, cuando en realidad no era así.

Ahí lo tienes. Un caso clásico de spear phishing (puedes consultar aquí las definiciones de phishing, spear phishing, ingeniería social y whaling). Se enviaron correos electrónicos fraudulentos dirigidos específicamente a determinados empleados. El autor falsificó documentos para que parecieran proceder de un proveedor chino legítimo. Dos empresas transfirieron $100 millones de dólares a un único hacker. Lo inusual de la historia es que el hacker fue detenido y se recuperó parte de los fondos. Si se tratara de una red sofisticada como la que llevó a cabo los ataques a las transferencias Swift del Banco de Bangladesh por valor de 81 millones de dólares, puedes estar seguro de que todos los fondos habrían desaparecido hace tiempo y no estarían disponibles para su recuperación.

¿Qué ocurre aquí? El ser humano se deja engañar fácilmente.

En el artículo aparecía una cita de un «experto en seguridad» que explica muy bien por qué estos ataques seguirán produciéndose. Dijo: «Pero las personas son parte de la mejor seguridad que se puede tener; por eso hay que formarlas». Los lectores del blog de Kaseya saben que somos partidarios de la formación para ayudar a los empleados a identificar los ataques de phishing y spear phishing. Sin embargo, los lectores también saben que los empleados formados para detectar el phishing siguen abriendo el 30% de los correos electrónicos fraudulentos. Probablemente por eso el 65 % de las empresas informaron de que fueron víctimas de ataques de ingeniería social que tuvieron éxito el año pasado.

La idea de que puede confiar en los seres humanos para que sean su cortafuegos contra las ciberestafas sofisticadas es una ilusión anticuada. No dude en formarse. Puede ser útil. Pero debe reconocer que las personas son fáciles de engañar. Sus empleados necesitan la ayuda de la automatización.

Las ciberdefensas actuales no detienen los ataques de spear phishing.

Al igual que la formación, la seguridad de la red y la protección de los puntos finales son también medidas de defensa necesarias. El problema es que las tácticas de ingeniería social, como el spear phishing, eluden esas defensas porque son los propios empleados quienes les conceden acceso. O bien se engaña al empleado para que realice alguna acción en nombre del hacker, que se hace pasar por un socio comercial, o se le induce a revelar credenciales que proporcionan acceso directo a sus sistemas.

Un estudio de PhishMe realizado en 2016 reveló que el 91% de los ciberataques se iniciaban con un ataque de phishing. El prestigioso informe DBIR de Verizon de 2015 reveló que el 90% de los incidentes de seguridad se debían a errores humanos. Proteja sus redes y dispositivos finales, pero tenga en cuenta que lo que el FBI denomina «Business Email Compromise» (BEC) es un vector de ciberataque muy utilizado. No se puede confiar en que las personas identifiquen correctamente todos los ataques de ciberseguridad. Los ciberatacantes investigan a fondo y tienen una alta tasa de éxito.

¿Qué hace para proteger a sus empleados del spear phishing?

En la actualidad se utilizan dos métodos automatizados para proteger a los empleados contra el spear phishing: DMARC y TrustGraph™. DMARC ayuda a proteger a las organizaciones contra un tipo de ataque de spear phishing. Es mejor que nada. Sin embargo, Trust Graph, desarrollado por Kaseya 365 User, protege a las organizaciones contra los cuatro tipos de ataques de spear phishing.

El Trust Graph utiliza la teoría de grafos y el aprendizaje automático para analizar rápidamente las relaciones entre el remitente externo del correo electrónico y el empleado destinatario, y además compara otros indicadores con fuentes de inteligencia sobre amenazas tanto externas como internas. Durante una prueba beta de 15 meses realizada con 10 empresas medianas, el Kaseya 365 User Trust Graph identificó con éxito ataques de spear phishing y de ingeniería social. Puedes activar Kaseya 365 User en solo un minuto y probarlo gratis para ver cómo funciona.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

¿Qué es la computación en nube? Servicios, tipos, ventajas y casos de uso

A medida que se amplía el horizonte digital, las empresas de todo el mundo están adoptando la nube, reconociendo su capacidad transformadora para impulsar la eficiencia, el progreso ySeguir leyendo

Leer la entrada del blog

Los peores ataques de phishing de la historia

El phishing está en el origen de muchos ciberataques. Conoce 5 de los peores ataques de phishing de la historia, cómo se produjeron y el devastador impacto que tuvieron.

Leer la entrada del blog
Hyper-V frente a VMWare

Hyper V frente a VMware: Comparación de tecnologías de virtualización

Hoy en día, las organizaciones suelen necesitar numerosos servidores ubicados en diferentes lugares físicos, cada uno de los cuales funciona a pleno rendimiento para impulsar la eficiencia ySeguir leyendo

Leer la entrada del blog