En los 2 últimos años

El phishing y las redes sociales son las principales fuentes de este tipo de amenazas en las que no se utilizan técnicas de hacking, sino que se manipula a los usuarios para que revelen contraseñas u otra información.

Check Point® Software Technologies Ltd. presentó las conclusiones de un nuevo informe que revela que un 48% de las empresas encuestadas ha sido víctima de ataques de ingeniería social y ha sufrido 25 o más ataques a lo largo de los dos últimos años.

El coste empresarial de estos incidentes de seguridad está entre 18.000 y 73.000 euros. Este tipo de ataques implica que un estafador, en lugar de utilizar técnicas de hacking, manipula o engaña a los usuarios para que realicen ciertas acciones o divulguen información personal.

El informe “Riesgo de la Ingeniería Social en la Seguridad Informática” señala el phishing y las redes sociales como las principales fuentes de amenazas y anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.

Tradicionalmente, estos ataques tenían como objetivo a personas con información delicada o que tienen acceso a la misma. En la actualidad, los hackers recurren a una amplia gama de técnicas y aplicaciones para obtener información personal y profesional y detectar el eslabón más débil en una organización.

“Los resultados de la encuesta muestran que casi la mitad de las empresas encuestadas son conscientes de que han sufrido ataques de ingeniería social. Sabiendo que muchos de estos ataques pasan desapercibidos, debemos tener en cuenta que este es un vector de ataque muy amplio y peligroso que no debe ser ignorado”, señala Oded Gonda, vicepresidente de productos de seguridad de red de Check Point Software Technologies.

Si bien las técnicas de ingeniería social confían en aprovecharse de las vulnerabilidades de una persona, la omnipresencia de la Web 2.0 y las tecnologías móviles también han incrementado las alternativas de cara a acceder a información personal, creando nuevas vías de penetración para la ejecución de estos ataques concretos. Los nuevos empleados (60%) y contratistas (44%), menos familiarizados con las políticas de seguridad corporativas, fueron señalados como los colectivos más susceptibles de convertirse en víctimas de estas amenazas, seguidos por personal de contratas, administrativos, recursos humanos y el departamento de informática.

“A fin de cuentas, las personas son un componte crítico del proceso de seguridad, en tanto y en cuanto son susceptibles ser víctimas de los engaños de los criminales y cometer errores que pueden llevar a infecciones por malware o pérdidas de datos no intencionadas. Muchas organizaciones no ponen suficiente empeño en involucrar a sus usuarios, cuando, de hecho, los empleados deberían ser la primera línea de defensa”, añade Gonda. “Una buena manera de hacer que los usuarios sean más conscientes de su importancia es involucrarlos en el proceso de seguridad, otorgándoles capacidades para evitar y remediar incidentes de seguridad en tiempo real.”

Principales Conclusiones de Informe:

Las amenazas son reales – El 86% de los profesionales informáticos y de seguridad son conscientes o muy conscientes de los riesgos que comportan los ataques de ingeniería social. Aproximadamente el 48% de las empresas encuestadas admite haber sufrido más de 25 ataques en los dos últimos años.

Estos ataques salen caros – Los encuestados cifran entre 18.000 y 73.000 euros el coste de los incidentes de seguridad, teniendo en cuenta costes de disrupción de negocio, retrasos con clientes, pérdida de ingresos y daños de marca.

Las fuentes más comunes de ataques de ingeniería social – Los correos electrónicos de phishing ocupan el primer puesto en el ranking (47%), seguidos de las redes sociales, donde se expone información personal y profesional (39%) y dispositivos móviles inseguros (12%).

El ánimo de lucro es la principal motivación de estos ataques (51%) – seguido por el acceso a información propietaria (46%), la obtención de ventajas competitivas (40%) y la venganza (14%).

Los nuevos empleados son más susceptibles a las técnicas de ingeniería social – Según los encuestados, los nuevos empleados son los más expuestos a estos riesgos, seguidos por los contratistas (44%), secretarios/as de dirección (38%), recursos humanos (33%), altos ejecutivos (32%) y personal informático (23%). Independientemente de su función en la organización, tanto la implementación de programas de formación adecuados, como la concienciación, son componentes críticos en cualquier política de seguridad.

Falta de formación proactiva para evitar los ataques – El 34% de las empresas carece de políticas de seguridad o programas de formación para prevenir que sus usuarios sean víctimas de las técnicas de ingeniería social, si bien el 19% tiene previsto implementarlos.

Para alcanzar el grado de protección que los entornos informáticos modernos demandan, el concepto de seguridad tiene que ampliarse, otorgándole la misma consideración que a cualquier otro proceso efectivo de negocio, en lugar de verla como una mera colección de tecnologías dispares. 3D Security de Check Point ayuda a las empresas a implantar un esquema de seguridad que trasciende la tecnología, educando a los empleados involucrándoles en el proceso. “Así como los empleados cometen errores y son responsables de la aparición de amenazas o vulnerabilidades en la organización, también pueden desempeñar un papel crucial en la mitigación de los riesgos”, añade Gonda. Gracias a la tecnología UserCheck™ de Check Point, las empresas pueden informar y educar a sus empleados acerca de las políticas corporativas a la hora de acceder a la red, los datos y las aplicaciones corporativas—ayudando a las empresas a minimizar la frecuencia, los riesgos y los costes asociados a las técnicas de ingeniería social.

Puede acceder al informe y completar el sondeo online aquí www.checkpoint.com

“La seguridad no es sólo un problema para los administradores informáticos; sino que tiene que ser parte de las funciones de cada perfil profesional. A medida que las amenazas a las que se enfrenta la industria se hacen más sofisticadas y especializadas, la colaboración de los usuarios incrementa el grado de inteligencia y de efectividad de las tecnologías de seguridad,” concluye Gonda.

Anuncios

Ingeniería social

BitDefender alerta contra el uso por parte de los ciberdelincuentes de los eventos de Facebook con fines maliciosos.

Los ciberdelincuentes han desarrollado eventos falsos en los que promocionan una aplicación denominada “Descubre quién mira tu perfil. Aplicación oficial”. Si el usuario pincha en el link del evento, es dirigido a una falsa aplicación que le pide copiar y pegar un código en su navegador (algo que nunca piden las aplicaciones legales). Si lo hace, el usuario verá cómo se publica en su muro de Facebook un evento promocionando esa misma aplicación falsa. El evento aparecerá cómo creado por el usuario afectado y todos sus amigos serán invitados al mismo automáticamente.

Al aparecer la aplicación promocionada como “oficial” y estar, además, vinculada a un evento creado por un amigo, muchos usuarios pueden creer que es legítima y sentirse tentados de probarla, iniciando así, de nuevo, el círculo vicioso ya que inmediatamente volverá a aparecer el mismo evento en sus muros.

“Los ciberdelincuentes utilizaron una técnica similar con el botón de “Me gusta”. Recientemente, descubrimos esta técnica en el etiquetado de fotos. Finalmente, han dado el salto a los eventos. El denominador común de todos esos ataques es la promoción a través de ellos de falsas aplicaciones, generalmente relacionadas con temas como “descubre quién mira tu perfil”, “entérate de quién te ha borrado en Facebook”, etc.”, explica Jocelyn Otero Ovalle, Directora de Marketing de BitDefender para España y Portugal.

BitDefender recomienda desconfiar de las herramientas que prometen dar ese tipo de datos u otros igualmente sorprendentes. En caso de duda, aconseja buscar información sobre la aplicación en Internet, para comprobar las experiencias de otros usuarios con esa aplicación.

Fuente: BitDefender.

Diciembre 2010

Durante el último mes del año, la Ingeniera Social enfocada en las fiestas fue una de las principales estrategias utilizadas por los ciberatacantes. Además, se han descubierto dos casos de rogue de rápida propagación en la red que buscan estafar a los usuarios.

Durante diciembre, fueron registrados nuevos códigos maliciosos que utilizaban la Navidad como temática de engaño para propagarse. También, dos casos de falsos antivirus que buscaban robar dinero al usuario lograron una rápida propagación en la red, según informa la compañía de seguridad informática ESET.

Durante diciembre se descubrieron dos casos de rogue con una amplia tasa de infección en la red, conocidos con el nombre de “Privacy Guard 2010″ y “Antivirus 2010″. Como la mayoría de estas amenazas, son ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en el equipo. La persona es invitada luego a descargar la versión completa de la supuesta solución de seguridad y a pagar por ella, de modo que el fin de estas amenazas es robar dinero al usuario.

La particularidad de estos casos es su creciente profesionalización ya que con el objetivo de obtener mayores beneficios económicos, las interfaces gráficas son cada vez más prolijas y se encuentran traducidas a varios idiomas.

“El rogue es una de las amenazas que mayor crecimiento ha tenido en los últimos años. Para protegerse, es recomendable contar con una solución de seguridad antivirus con capacidades de detección proactiva así como también es importante que el usuario esté atento para identificarlos. Algunas cuestiones que pueden indicarnos que se trata de un falso antivirus son su descarga en el equipo sin la autorización del usuario o el hecho de que encuentre una gran cantidad de códigos maliciosos al hacer un análisis pero nunca puntualice en qué archivos”, señaló Sebastián Bortnik, Coordinador de Awareness & Research de ESET.

Aprovechando la víspera de Navidad, se distribuyó un hoax -correo electrónico enviado masivamente que contiene una información falsa- cuya función era recolectar información de correos electrónicos válidos para luego ser utilizados con fines maliciosos. Para atraer la atención de los usuarios, el mismo prometía la posibilidad de regalar cheques de 1000 dólares con motivo de las fiestas.

Para acceder al premio, el usuario debe luego seguir un enlace que permite al ciberatacante validar una cuenta activa de Facebook y continuar propagando la amenaza por medio de un mensaje en el muro de la víctima.

“Las redes sociales son plataformas cada vez más utilizadas por los ciberatacantes para propagar amenazas informáticas, dada la masificación de su utilización. Es importante mantenerse atentos para no caer en este tipo de engaños que persiguen obtener, aunque sea indirectamente por medio de la recolección de correos electrónicos, ganancias económicas”, aseguró Federico Pacheco, Education & Research Manager de ESET Latinoamérica.

Ranking de propagación

– INF/Autorun asciende al primer puesto con el 6,32 por ciento del total de detecciones. Este malware es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo, como un CD, DVD o dispositivo USB, es leído por el equipo.

– Win32/Conficker desciende luego de diez meses en la cima del ranking a la segunda posición con el 4,61 por ciento del total de detecciones.

– Win32/PSW.OnlineGames se mantiene en el tercer lugar con el 2,91 por ciento y es una de las amenazas con mayor vigencia consecutiva entre las primeras posiciones del ranking mundial de propagación de malware.

– Win32/Sality aparece en la cuarta posición con el 2,01 por ciento del total de detecciones. Se trata de un virus polimórfico que cuando se ejecuta inicia un servicio y crea o elimina claves de registro relacionadas con las actividades de seguridad en el sistema.

– Finalmente, INF/Conficker El JS/TrojanDownloader.Pegel.BR aparece por primera vez en el ranking y se ubica en la quinta posición con el 2,29 por ciento del total de detecciones. Se trata de un script ofuscado que es insertado en las páginas web y redirecciona a otros sitios infectados desde los cuales se descargan y ejecutan códigos maliciosos en el equipo de la víctima.

Fuente: ESET.