Un estudio realizado por la consultora TNS Global for Halon, especialista en seguridad de correo electrónico, muestra que 30 por ciento de los usuarios encuestados admite haber abierto correos, aunque fueran conscientes de que contenían virus o resultaran sospechosos.
Realizado entre mil individuos adultos de Estados Unidos, la encuesta no puede considerarse un índice nacional, pero es bastante indicativo que uno de cada 11 consultados haya reconocido haber infectado su sistema tras abrir un archivo de correo malicioso. Como el correo electrónico sigue siendo una forma sencilla para que un ataque logre acceso a una red, con frecuencia la ingeniería social desarrolla formas de señuelo basadas en él, lo que resulta alarmante.
Los señuelos más eficaces son claros: para las mujeres los resultados indican que los mensajes más atractivos resultan ser las invitaciones a redes sociales, mientras que para los hombres se trata de reclamos que tienen que ver con dinero, poder y sexo.
Con mayor frecuencia, los mensajes decían proceder de instituciones bancarias (15.9 por ciento), redes sociales, como Facebook y Twitter (15.2 por ciento) y servicios de pago en línea, como PayPal (12.8 por ciento).
Según las estadísticas del Grupo de Trabajo AntiPhishing (APWG), correspondientes al informe del primer trimestre de este año, se han detectado 74 mil campañas de phishing, más de 110 mil dominios pirateados y más de mil 100 marcas atacadas.
Para la misma fuente, los kits para realizar phishing son bastante accesibles y tampoco exigen demasiado tiempo, por lo que la probabilidad de que aumenten los ataques potenciales es muy alta. Si a esto se le añade que 30 por ciento de los ataques tiene éxito, los autores de los mismos pueden estar satisfechos con su inversión.
Aunque las cifras del estudio se centran en el consumidor, parece lógico pensar que si un usuario abre un correo infectado en casa, también es capaz de hacerlo en la oficina. Para ajustar más el alcance, CSO contactó con dos expertos en ingeniería social, Chris Hadnagy, presidente y CEO de Social-Engineer, y David Kennedy, fundador de TrustedSec, quienes aseguran que “es importante recordar que, como atacante, sólo necesito que haya una persona con un navegador o software cliente vulnerable para que me dé acceso. Así que para un pirata, 30 por ciento de éxito es una gran noticia para ataques en masa”, señala Hadnagy.
De acuerdo con su colega, Kennedy destaca que cuando las atacadas son grandes organizaciones, con clientes en el ránking Fortune, su nivel de éxito alcanza hasta 94 por ciento.
“Sólo se tarda una hora, más o menos, en elaborar un pretexto para que el ataque resulte creíble. Y sólo es necesario que el empleado se crea que la fantasía es real para que haga clic. Hay correos completamente oscuros que no tienen relevancia o credibilidad en un gran número de casos y, así y todo, logran un ratio de éxito del 30 por ciento. Para nosotros, los ataques han pasado desde el perímetro externo a la ruta de la ingeniería social a causa del ROI”, indica Kennedy. “Creo que la verdadera alarma de esta tendencia es que estamos literalmente indefensos con la tecnología y procedimientos que utilizamos para afrontar los actuales ataques”, concluye.
Al respecto, Hadnagy apunta que “el problema es que no hay ninguna pieza tecnológica que pueda por sí sola resolver este problema. Hay que acoplar educación y conocimientos, procesos de manejo y controles técnicos para la población. Todas nuestras vidas giran en torno a abrir correos electrónicos y responderlos rápidamente”.
En cuanto a los temas de los mensajes señuelo, Hadnagy señala que las personas nos inclinamos más a abrir un correo cuando trata temas que nos preocupan o interesan, como salud, dinero, sexo. La clave es que cada vez que un atacante puede afectar a alguien personalmente, logra un mayor grado de éxito. “Si la salud está en peligro y se puede hacer algo leyendo un correo en apenas dos minutos, lo haremos sin pensar”, concluye Kennedy.
– Steve Ragan, CSO.