El número de violaciones de datos ha aumentado de manera constante en los últimos años. De hecho, hubo casi 1,1 millones de violaciones de datos en 2017, según el Centro de Recursos sobre Robo de Identidad (ITRC). Pero avancemos rápido y el número de violaciones de datos en línea experimentadas en todo el mundo durante los dos primeros trimestres de 2022 se registró en 8,51 millones (¡un aumento de 6 veces!) — y se espera que estas cifras aumenten a finales de año.

Desafortunadamente, la peor parte de esto es que el costo esperado de una violación de datos también está aumentando. Según un informe publicado por IBM, el costo promedio de la violación de datos aumentó de 4,24 millones de dólares a 4,35 millones de dólares, aproximadamente un 2,5%, en 2022.

Ataques de ingeniería social

Los profesionales de la ciberseguridad consideran que la ingeniería social y los ataques de suplantación de identidad son la principal amenaza para su organización, investigación de CS Hub ha revelado. En el Informe de mercado de mitad de año de CS Hub 2022, el 75 por ciento de los encuestados mencionó los ataques de ingeniería social y suplantación de identidad como la principal amenaza para la ciberseguridad de su organización.

Primero, hablemos de lo que se define como ataque de ingeniería social. A se produce un ataque de ingeniería social cuando una persona intenta engañar a otra para que revele información confidencial. Estos ataques suelen implicar algún tipo de engaño, como hacerse pasar por un empleado o cliente legítimo.

Los piratas informáticos utilizan varios métodos para que las víctimas hagan clic en los enlaces, abran archivos adjuntos o descarguen archivos. La forma más común de ingeniería social consiste en los correos electrónicos de suplantación de identidad, que engañan a los usuarios para que revelen información personal. Una vez que acceden a la computadora de la víctima, pueden robar información personal, como números de tarjetas de crédito, detalles de cuentas bancarias y contraseñas.

Los correos electrónicos de suplantación de identidad suelen parecer legítimos, pero suelen contener enlaces a sitios web malintencionados que recopilan información confidencial. Luego, estos sitios utilizan esa información para robar identidades y cometer otros delitos.

En 2018, se denunciaron 1.400 millones de violaciones de datos en todo el mundo, según el Informe de investigación de violaciones de datos de 2019 (DBIR) de Verizon y esto ha aumentado un 30 por ciento en lo que va de 2022. Y aunque muchos de esos ataques implicaron el hackeo de ordenadores, los ciberdelincuentes utilizan cada vez más tácticas de ingeniería social para hackear sistemas.

En enero de 2022, Bleeping Computer describió un sofisticado ataque de suplantación de identidad diseñado para robar las credenciales de Office 365 en el que los atacantes imitaban al Departamento de Trabajo (DoL) de EE. UU. La estafa es un ejemplo sorprendente de lo convincentes que se están volviendo los intentos de suplantación de identidad.

«El ataque utilizó dos métodos para hacerse pasar por la dirección de correo electrónico del DoL: suplantar el dominio de correo electrónico real del DoL (reply @dol [.] gov) y comprar dominios parecidos, como «dol-gov [.] com» y «dol-gov [.] us». Al utilizar estos dominios, los correos electrónicos de suplantación de identidad pasaban por las pasarelas de seguridad de las organizaciones objetivo», explica Bill Toulas, de Bleeping Computer.

«Los correos electrónicos incluso utilizaban la marca oficial de DoL y estaban escritos de forma profesional e invitaban a los destinatarios a presentar ofertas para un proyecto gubernamental. Las supuestas instrucciones de licitación se incluyeron en un PDF de tres páginas con el botón «Haga una oferta ahora» incorporado. Al hacer clic en el enlace, los destinatarios eran redirigidos a un sitio de suplantación de identidad con un aspecto idéntico al sitio real del DoL, alojado en una URL como bid-dolgov [.] us», señaló Toulas.

Como era de esperar, el sitio falso indicó a los usuarios que ingresaran sus credenciales de Office 365. El aspecto más inteligente de los piratas informáticos era que incluso tenían un comportamiento integrado, por lo que, una vez que introducían las credenciales por primera vez, mostraban un mensaje de error para que la víctima las introdujera dos veces y, por lo tanto, reducía la posibilidad de que las escribiera mal.

Phishing

Profundicemos un poco más en los ataques de ingeniería social y centrémonos en desentrañar el phishing.

La suplantación de identidad implica el envío de correos electrónicos con enlaces o archivos adjuntos maliciosos que parecen provenir de una fuente confiable, como se mencionó anteriormente. Este tipo de ataque lo suelen utilizar los estafadores que intentan robar información personal o dinero. Por el contrario, los ataques de ingeniería social se producen cuando las personas se hacen pasar por otra persona en línea. Pueden solicitar información confidencial, como nombres de usuario y contraseñas, o solicitar acceso a sistemas privados.

La estafa de suplantación de identidad más común se dirige a los usuarios de instituciones financieras, como bancos y compañías de tarjetas de crédito. Estas estafas suelen incluir sitios web falsos que tienen exactamente el mismo aspecto que los reales. Por ejemplo, si recibes un correo electrónico pidiéndote que actualices la información de tu cuenta, haz clic en el enlace proporcionado. Si escribes tu nombre de usuario y contraseña, podrías terminar revelando tu información personal a delincuentes.

Además de ser una molestia, las estafas de suplantación de identidad pueden ser costosas. Un estudio reciente descubrió que los ciberdelincuentes cuestan a las empresas 1 billón de dólares cada año. Esto se debe a que los piratas informáticos roban datos confidenciales de empleados y clientes desprevenidos.

La mejor defensa contra los ataques de suplantación de identidad es la educación. Los empleados deben saber qué constituye un correo electrónico legítimo y qué no, y también deben ser conscientes de los riesgos que conlleva hacer clic en los enlaces de los correos electrónicos. Si recibes un correo electrónico que parece sospechoso, elimínalo inmediatamente. Y si sospechas que tu empresa ha sido hackeada, ponte en contacto inmediatamente con tu departamento de TI.

Si se pregunta qué aspecto tiene una estafa de suplantación de identidad, revisemos abril de 2021. Investigadores de seguridad descubierto un compromiso con el correo electrónico empresarial (BEC) estafa que engaña al destinatario para que instale código malintencionado en su dispositivo.

Así es como funciona el ataque y, de hecho, es bastante inteligente.

El objetivo recibió un correo electrónico en blanco con un asunto sobre una «revisión de precios». El correo electrónico contenía un archivo adjunto a una hoja de cálculo de Excel que, en realidad, era un archivo HTML disfrazado.

Al abrir el archivo HTML (disfrazado), el objetivo fue redirigido a un sitio web que contenía código malicioso, lo que activó una notificación emergente que le decía al objetivo que había cerrado sesión en Microsoft 365. A continuación, la ventana emergente les animaba a volver a introducir sus credenciales de inicio de sesión.

Como era de esperar, una vez que el objetivo realizó esta acción, sin darse cuenta envió sus credenciales a los piratas informáticos.

Este tipo de suplantación de identidad, que se basa en errores humanos combinados con defensas débiles, ha prosperado durante la pandemia. Las tasas de suplantación de identidad se duplicaron en 2020, según las últimas FBI datos.

 

Inyección SQL

Si crees que los piratas informáticos solo utilizan técnicas de ingeniería social para acceder a tu red, ¡piénsalo de nuevo! A pesar de que esta vulnerabilidad se conoce desde hace más de 20 años, las inyecciones siguen ocupando el puesto número 3 en Los 10 mejores de OWASP para vulnerabilidades web. En 2022, 1162 vulnerabilidades con el tipo «inyecciones SQL» se han aceptado como CVE.

Los piratas informáticos también pueden aprovechar las vulnerabilidades de las bases de datos mediante ataques de inyección de SQL. Este tipo de ataque les permite insertar código malintencionado en una consulta de base de datos.

La forma más común de inyección de SQL se produce cuando los usuarios introducen datos directamente en el cuadro de texto de una aplicación web.

Por ejemplo, si un usuario escribe «; DROP TABLE Students; --» en un campo de texto, el hacker podría ejecutar el comando «DROP TABLE Students; --», que eliminaría a todos los estudiantes de la base de datos.

Los ataques de inyección de SQL se producen cuando los piratas informáticos utilizan código malicioso para engañar a un sitio web para que ejecute comandos en una base de datos. Los piratas informáticos suelen insertar código malintencionado en la barra de URL de un sitio web, haciendo que parezca que el sitio solicita información de una fuente legítima. Cuando un usuario hace clic en el enlace, el código malicioso se ejecuta y permite al pirata informático acceder a la cuenta de la víctima.

Otro ejemplo es que si un usuario introduce su dirección de correo electrónico en un cuadro de texto, el hacker podría introducir un comando que le permitiera ver el contenido de la bandeja de entrada del usuario. Otro método de ataque popular es colocar código malicioso dentro de un hipervínculo. Si un usuario hace clic en el hipervínculo, se le dirigirá a una página donde puede descargar malware.

Los ataques de inyección de SQL son uno de los tipos más comunes de ciberataques porque son fáciles de ejecutar y, a menudo, pasan desapercibidos.

Un ejemplo real reciente es Accellion, el creador del dispositivo de transferencia de archivos (FTA), un nodo de red diseñado para transportar grandes volúmenes de información confidencial.

Fábrica de especias informó que «desde enero de 2021, [Accellion] ha reconocido y comenzado a abordar los efectos de una vulnerabilidad de inyección de SQL de larga data. [...] Accellion fue un ataque a la cadena de suministro que afectó a varias empresas que utilizaban el dispositivo FTA. Entre las organizaciones atacadas figuraban el estado de Washington, el Banco de la Reserva de Nueva Zelanda, la Comisión de Inversiones, el gigante australiano de valores y telecomunicaciones Singtel y la empresa de software de seguridad Qualys».

Según un informe de 2020 de IBM y el Instituto Ponemon, el costo promedio de una violación de datos en todo el mundo es de 3,86 millones de dólares, y en los EE. UU., ese costo es de 8,64 millones de dólares. Lo mejor que puede hacer para evitar una violación es empezar a entender su patrimonio de datos desde adentro hacia afuera. Conozca sus datos; conozca su verdad. Póngase en contacto con nosotros hoy mismo para saber cómo podemos ayudarlo a prevenir una infracción.

Transforme los datos en valor empresarial con inteligencia artificial de forma rápida.
Canadá
Estados Unidos de América
Reino Unido
Argentina
Brasil
Mexico
India
Colombia
Egipto
545 King Street West, Toronto, Ontario, M5V 1M1, Canadá
Nuestras ofertas
SolucionesServiciosPor qué nosotrosCasos prácticos
Inversor
Visión generalFinanzasNoticias y medios
Corporativo
Visión generalGobernanzaAviso y accesoÚnete a nuestro equipo
Política de privacidad
CoreBI Politica de la calidad
Privacy policy
Términos y condiciones
Condiciones de uso
Declaraciones de seguridad
Política de cookies
Derechos de autor © 2024 - NowVertical Group Todos los derechos reservados