Ciberataques: El phishing sofisticado se dispara y pone en jaque a las empresas

Cristian Do Carmo Rodríguez -

El error humano sigue siendo el eslabón débil en la cadena de seguridad. Los ciberdelincuentes lo saben y lo explotan con técnicas de phishing cada vez más sofisticadas. Ya no basta con desconfiar de correos sospechosos, ahora los atacantes tejen redes de engaño elaboradas para ganarse nuestra confianza.

El coste del phishing: millones en pérdidas

Según el Informe del Coste de una Brecha de Datos 2024 de IBM, el phishing es la segunda causa más costosa de brechas de seguridad, con pérdidas promedio de 4,88 millones de dólares por incidente. El informe, elaborado por el Ponemon Institute, analizó 604 organizaciones en 16 países y regiones, revelando que el 73% de las brechas se originaron con phishing y pretextos a través del correo electrónico.

Nuevas tácticas: del spam a la seducción

El informe de Verizon sobre investigaciones de brechas de datos de 2024 muestra que el 68% de las brechas involucran un elemento humano no malicioso, como caer víctima de un ataque de ingeniería social o cometer un error. ESET confirma esta tendencia: grupos como Deceptive Development y Kimsuky, con vínculos norcoreanos, perfeccionan sus ataques de phishing con pretextos elaborados, como falsas ofertas de trabajo para ganarse la confianza de sus víctimas antes de enviarles software malicioso. Lazarus, otro grupo de ciberdelincuentes, utiliza tácticas similares, suplantando a reclutadores en redes profesionales y plataformas de trabajo con el objetivo de robar criptomonedas.

Kimsuky, por su parte, se centra en expertos en Corea del Norte que trabajan para ONG e investigadores académicos, enviándoles solicitudes falsas de entrevistas o presentaciones. Mediante halagos y correos amigables, se ganan la confianza de las víctimas antes de enviarles archivos maliciosos disfrazados de documentos relevantes para la supuesta colaboración.

Incluso bandas de ransomware como BlackBasta han adoptado este enfoque, contactando a empleados a través del chat de Microsoft Teams haciéndose pasar por personal de soporte técnico, tras un incidente inicial de spam. Envían códigos QR maliciosos que descargan herramientas de acceso remoto, facilitando así sus ataques.

Formación en ciberseguridad: la mejor defensa

Ante este panorama, la formación en ciberseguridad se vuelve crucial. ESET ha desarrollado un curso interactivo, disponible en español, que informa a los empleados sobre las ciberamenazas actuales. Este tipo de formación ayuda a las empresas a cumplir con las normativas y a gestionar los riesgos de seguridad de manera más efectiva.

Recuerda: la mejor defensa contra el phishing es la concienciación y la precaución.