Ciberataques sin malware

Cómo los ciberdelincuentes atacan a las empresas sin usar malware.

Todas las empresas necesitan una protección confiable ante las ciberamenazas, pero es necesario recordar que un antivirus no es una solución universal. La mayoría de los ataques a empresas se producen gracias a un error humano: por ejemplo, un empleado cliquea en un enlace malicioso, activa una macro y descarga un archivo infectado. En algunos casos, los ciberdelincuentes ni siquiera utilizan malware: logran colarse en la infraestructura de una empresa usando solamente ingeniería social y soluciones de software legales. Aquí un par de ejemplos:

¡Cibercriminales al rescate!

Tenemos malas noticias por parte del grupo Luna Moth, un grupo especializado en el robo de datos corporativos y el uso del chantaje: obtienen información sin utilizar malware.

Un ataque a una empresa comienza con el típico correo electrónico fraudulento. Los delincuentes se hacen pasar por representantes de algún servicio online e intentan convencer a los destinatarios de que han contratado una suscripción y que el pago será cargado al siguiente día. Si el empleado desea cancelar el pago o conseguir más información, debe llamar a un número de teléfono que puede encontrar en un archivo adjunto en el correo electrónico.

Parece que encontramos la trampa, ¿no? Pues no. Contra todo pronóstico, el archivo no contiene ningún malware, por lo que es muy probable que el software del antivirus permita al usuario abrirlo. La tarea de los delincuentes en este momento es simplemente esperar a que el empleado llame al número telefónico.

Si lo consiguen, los atacantes convencen a la víctima para que instale una herramienta de acceso remoto (RAT) en su dispositivo, con el pretexto de “ayudar” al usuario a cancelar su suscripción. Técnicamente, las RAT no son malware, por lo que la mayoría de los antivirus no las bloquean, y solo algunos advierten a los usuarios de los peligros potenciales que pueden significar. Como resultado, los delincuentes consiguen el acceso remoto y el control del dispositivo.

Tomemos en cuenta que en varios casos los estafadores instalan más de una RAT en el dispositivo, por lo que, aunque se elimine una pueden utilizar otra para mantener el control y volver a instalar la primera. Una vez que controlan la computadora de la víctima, los delincuentes instalan herramientas adicionales para continuar infiltrándose en la infraestructura, acceder a más recursos y extraer datos.

Estafas telefónicas

Recientemente, la empresa estadounidense de telecomunicaciones Verizon fue víctima de un suceso un tanto más peculiar. Un ciberdelincuente anónimo declaró a Motherboard que había convencido a un empleado de Verizon de concederle acceso remoto a una computadora de la empresa simplemente afirmando que era miembro del servicio técnico interno. Supuestamente ejecutó en la computadora una herramienta interna para procesar la información de los empleados y, mediante un script personalizado, recogió una base de datos con los nombres completos, las direcciones de correo electrónico, las identificaciones de la empresa y los números telefónicos de cientos de personas.

Verizon confirmó que el ciberdelincuente se puso en contacto con la compañía y les pidió 250.000 dólares, amenazando con publicar los datos robados, pero niegan que haya conseguido información importante. No obstante, los periodistas de Motherboard llamaron a algunas de las personas cuyos contactos estaban en la base de datos. Algunas de ellas respondieron y confirmaron sus nombres, direcciones de correo electrónico y trabajar en Verizon.

¿Qué aprendimos de esto?

La moraleja de la historia es sencilla: tu empresa puede tener las soluciones de seguridad más actualizadas, pero si los empleados no cuentan con preparación para enfrentar estos ataques de ingeniería social, tus datos no están seguros. Por ello, una estrategia completa de ciberseguridad debe incluir no solo la instalación de herramientas técnicas de seguridad, sino también la concienciación de los empleados sobre las ciberamenazas y trucos más recientes de los ciberdelincuentes. Por ejemplo, una buena opción es a través de una plataforma de educación online  .

Aumenta la conciencia en seguridad en tu compañía

Consejos