La semana anterior el Banco de Costa Rica (BCR) advirtió sobre la circulación de un correo electrónico con un vínculo o link que redirige a los usuarios a un sitio falso, en el cual se pide al usuario digitar sus claves electrónicas.
Se trata del viejo truco conocido como phishing , una modalidad de fraude que usan las bandas de ciberdelincuentes en Internet. El BCR realizó las recomendaciones clásicas en estos casos para que sus clientes hagan caso omiso de estos mensajes.
El ejemplo deja ver que los hackers no han abandonado las prácticas tradicionales para atacar a los usuarios, pues lamentablemente siempre encontrarán quienes todavía muerden el anzuelo.
Empero, no se quedan ahí. Simultáneamente, los piratas informáticos profundizarán la exploración de nuevas vías para ir tras la información y el dinero de los usuarios, incluyendo la contaminación de los móviles con software malignos o malware , la denegación de servicios (donde atacan un sitio o servicio web para inhabilitarlo) y el aprovechamiento de la desprotección de los dispositivos de Internet de las cosas (IoT) para atacar los sistemas y servicios corporativos.
“La tendencia más importante es el uso del cibernet o fishing net de parte de los hackers ”, dice Derek Manky, estratega de seguridad de Fortinet. “Es básicamente el hackeo a muchas personas, donde bucean para ver qué información les es más interesante”.
El laboratorio de esta firma recibe cerca de 500.000 ataques diarios, lo que revela la magnitud de las actividades de los hackers .
Otras firmas especializadas en seguridad informática, como Eset y SPC, coinciden en que en el 2015 se vieron muchos tipos de ataques –globales y regionales–. En estos se compromete a las empresas y la privacidad de ciudadanos; se roba información y la borran de la computadora o el sistema del usuario. Los hechos ponen de relieve la importancia de combinar la tecnología de protección con una mejor gestión de la seguridad y la educación de todos los usuarios.
VEA TAMBIÉN Aumenta preocupación por ataques de piratas a empresas
Actualizados
Es claro que los ciberdelincuentes van al día, pues aprovechan vulnerabilidades y fallas conforme se difunden dispositivos conectados en los hogares (automóviles, sistemas de iluminación, refrigeradores, sistemas de seguridad de casas, televisores y teléfonos) y en las empresas ( desde los sensores para monitoreo de inventarios usados en IoT hasta los softwares industriales).
Los servicios de contenido, incluyendo los de video streaming , también son utilizados para el robo de contraseñas, información y claves bancarias de los usuarios.
Ya la firma Eset advertía que la IoT podría convertirse en “Internet de las amenazas”, en su informe de tendencias para el 2015. Por esto recomendaba revisar la seguridad de las redes, actualizar los parches de protección, utilizar sistemas de autenticación, garantizar aplicaciones confiables y utilizar el cifrado de datos.
Además, se espera que el próximo año se intensifiquen otros tipos de ataques, incluyendo los generados por “actores locales o regionales” contra países, instituciones o empresas de la región o del país.
LEA Hackeo en CCSS enciende alarmas en seguridad de datos personales
Los especialistas dicen que, frente a la variedad e intensidad de los ataques, en la actualidad se tiene la ventaja de que las empresas ya le dan importancia al tema de la seguridad de la información, si bien se requiere mayor capacitación a nivel individual.
“Los usuarios que se capaciten en seguridad y que aporten a sus trabajos marcarán un diferencial, ya que también protegerán los negocios por ser capaces de identificar engaños que llegan a sus bandejas de entrada”, indicó Pablo Ramos, especialista en seguridad informática de Eset Latinoamérica.
En el arsenal de las empresas se cuentan mecanismos de doble autentificación, firewall de próxima generación, cambios de contraseñas cada cierto tiempo, sistemas de detección de actividades irregulares en los sistemas de las empresas y de errores, y uso de lectores de navegadores en Internet que advierten cuando una persona se encuentra en un sitio que no es seguro.
También se vienen aplicando enfoques para hacerle frente a los ataques mediante políticas y controles para defender las redes (antes), detección y bloqueo de amenazas (durante) y contención del impacto (después).
“Debemos salirnos de la ‘caja’, pensar más en soluciones o arquitecturas seguras asociadas a métodos de gestión, en vez de seguir comprando hardware o software de protección sin un norte a seguir”, dijo Alonso Ramírez, director de servicios de ciberseguridad de SPC.
Modelo de cal y arena
Los principales peligros que se profundizarán en el 2016:
Móviles: Los smartphones con Android servirán para atacar computadoras y sistemas empresariales.
Denegar servicios: Ataques a websites seguirán debido a facilidades de las empresas y claves inseguras.
Dispositivos: Los hackers también atacarán otros dispositivos, como los usados en el campo de la salud.
Internet de las cosas: Hackers aprovecharán adopción de dispositivos de IoT en hogares y empresas.
Secuestro de datos: Conocido como ransomware. Se esperan campañas masivas de este tipo para el 2016.
Ataques avanzados: Para infectar o atacar la mayor cantidad de sistemas en una misma red.
Fuga de información: Infiltración de sistemas para robar información corporativa y contraseñas de cuentas .
Botnets: Intercepta información (como claves bancarias) o usa equipo para diferentes propósitos del hacker.
Vulnerabilidades: Hacker detectan fallas de software y dispositivos para afectar sistemas.
Campañas: Hackers locales lanzan campañas contra países, instituciones, regiones o empresas.
Fuente Eset, Fortinet y SPC.