La mayoría de las empresas y dependencias del gobierno tienen alguno o varios elementos de seguridad, tipo antivirus y/o antispyware y/o firewall u otros dispositivos ya sean hardware o software.
La mayoría de los ataques son ahora lanzados desde Internet, lo cual involucra a la herramienta número uno en todos los escritorios, sin excepción: el correo electrónico.
De manera que el email es el principal vector para ataques de cibercriminales.
Todos los días se envían y reciben cientos de miles de correos con malware escondido en una imagen, una liga, un supuesto “comunicado del SAT”… y así puedo seguir con la lista.
Para empezar, cuando se inventó el email allá por los años ochenta del siglo pasado, fue lanzado sin medidas de seguridad, pues su propósito inicial sólo era enviar textos. Posteriormente se mejoraron sus protocolos, se incrementó el tamaño de los mensajes, fue adicionada la capacidad para anexar archivos multimedia y más tarde hasta archivos cifrados, pero su origen hoy lo hace inseguro y sin autenticación o certificación. Esto permite a cibercriminales y hacktivistas suplantar a otras personas o instituciones como si fueran legítimas. A esta práctica se le conoce como “spoof” (imitación).
El otro eterno dolor de cabeza es el spam, el cual es la recepción de correo no necesariamente deseado con ofertas de todo tipo y calaña.
El eslabón más débil en seguridad es el ser humano: ejecutivos y altos funcionarios son blancos fáciles por su desconocimiento cibernético, así que a los chicos malos se les facilita el trabajo, ya que hasta pueden tener acceso a los directorios de las víctimas para después usarlos en un servidor diferente y así imitarlos (spoof) enviando supuestos mensajes del usuario hackeado a sus propios contactos.
En el fraude de email, los ataques se vuelven más virales que cualquier otro. Tan sólo en un año, el FBI reportó 1,200 millones de dólares en pérdidas por emails de corporativos y agencias de gobierno (CEO-CFO spoofing), y se descubrió oficialmente el método más usado para envío de malware.
Origen del problema y recomendaciones
Es muy simple convencer a alguien de abrir un correo electrónico y descargar un archivo o dar click a un link si esa persona cree que el email viene de una fuente confiable.
Por 20 años la industria ha luchado contra la plaga del spam, el phishing, los ataques dirigidos y el malware con un email como vector primario. Es común que las brechas empiecen con el phishing y que las pequeñas empresas no tengan fuentes de seguridad para protegerse por sí mismas.
Otro problema cada vez mayor es la lectura de correos electrónicos en dispositivos móviles, donde clientes de email a menudo sólo muestran los nombres de visualización. Claro que ahora los dispositivos móviles tipo smartphones y tablets son más atacados que las mismas computadoras.
De modo que si eres el responsable de la plataforma tecnológica o de seguridad en tu organización, te recomiendo que revises qué tipo de servicio de email utilizas y asegúrate de que es compatible DMARC. Si de facto utilizas los servicios de Google u Office 365 de Microsoft, ya estás cubierto en esa parte; ahora sólo te resta capacitar a tus usuarios, hacer constantes campañas y crear la normatividad necesaria para detener el principal vector de ataque en Internet: el email.
