ataques de phishing grandes empresas

Hay situaciones que nos resultan especialmente molestas, que soportamos con la sensación de que han llegado para quedarse y nunca desaparecerán, como la música de los ascensores, las llamadas de telemarketing y, por supuesto, los ataques de phishing. Esa toxina que se transmite a través del correo electrónico, lleva siendo un quebradero de cabeza desde principios de los noventa, cuando atacaba a los usuarios de AOL y otros servicios online. Hoy en día, se ha convertido en una plaga que afecta a todo el planeta, y su antídoto, podría venir de la mano de una tecnología cuyo origen se remonta al siglo pasado: la inteligencia artificial (IA).

A medida que los correos de phishing se van acumulando en los buzones corporativos, los ciberdelincuentes que los propagan parece que están ganando la batalla. Un reciente estudio realizado por Ivanti a más de 1.000 profesionales de TI, revela que casi tres cuartas partes de las organizaciones fueron víctimas de un ciberataque durante el 2020; el 40% lo fue durante el último mes, y cuatro de cada cinco encuestados reconoció que había visto aumentado el número de correos de phishing.

Los ‘phish’ más inteligentes son los más difíciles de atrapar

Los ataques phishing no sólo están aumentando en volumen; también aumenta su nivel de complejidad, que hace que cada vez resulte más difícil de detectar. Esto es debido a que las bandas criminales que organizan los ataques son cada vez más hábiles y utilizan nuevas técnicas para pasar inadvertidas. Según este estudio, el 85% de los encuestados teme que las técnicas de phishing aumenten en sofistificación, un aspecto que resulta especialmente preocupante, ya que muchas empresas y empleados están optando por un modelo de trabajo híbrido, lo que hace que la protección y la visibilidad de la red y los dispositivos sean cada vez más complejas.

Los ataques phishing no sólo están aumentando en volumen; también aumenta su nivel de complejidad

Una de estas técnicas es el registro masivo de dominios. Tradicionalmente, las empresas que se encargan de segurizar los correos electrónico, disponen de listados con los dominios maliciosos que se han utilizado en campañas de phishing. Lo que hacen estas empresas es comparar los correos entrantes con los que aparecen en sus listas de bloqueo, y ponen en cuarentena cualquiera que contenga un dominio identificado como phishing . Ante esta situación, algunas bandas de phishing intentan evitar la detección utilizando servicios públicos en la nube con dominios legítimos para alojar sus sitios maliciosos. Otros registran dominios de forma masiva a muy bajo coste, que adquieren a proveedores mayoristas.

Estos dominios registrados al por mayor son fácilmente desechables, y los atacantes pueden cambiarlos rápidamente antes de que lleguen a una lista de bloqueo. Esta técnica les permite además dirigir su ataque a un menor número de víctimas con dominios independientes, en lo que se conoce como un ataque de “raqueta de nieve” (snowshoe attack). Dado que cada dominio abarca a un número más reducido de personas, resulta poco probable que aparezca en el radar de una empresa de seguridad.

Otra técnica común es el conocido como spearphishing. Muchos ciberdelincuentes siguen enviando de forma masiva correos genéricos de phishing poco “trabajados”, con la esperanza de atrapar a alguna víctima despistada. Para ellos, es tan solo un juego de números. Los spearphishers se dirigen a presas “importantes” con la esperanza de obtener cuantiosas recompensas por el robo de credenciales, los ataques al correo corporativo o el ransomware. En este caso, los hackers investigan más en profundidad, trabajan con cuidado sus correos maliciosos para que sean más difíciles de detectar y los dirigen a grupos más reducidos y segmentados.

Todo esto eleva el listón de las herramientas antiphishing en un momento en el que lo que está en juego es de especial valor. Los “defensores” deben ser capaces der bloquear todos los correos electrónicos de phishing, mientras que los atacantes sólo tienen que tener suerte una vez. Basta con una sola plaga de ransomware provocada por un ataque de phishing, para contagiar a toda una empresa.

La Inteligencia Artificial al rescate

Es necesario corregir este desequilibrio, y la IA es una buena opción para conseguirlo. El software tradicional opera como un proceso, que se limita a seguir instrucciones específicas. Por este motivo, el software tradicional antiphishing es reactivo. Únicamente puede utilizar reglas predefinidas para identificar correos electrónicos de phishing, que compara con ejemplos exactos de ataques anteriores, pero no puede detectar los correos que sean nuevos y desconocidos.

La inteligencia artificial no sigue ninguna regla. Una de sus técnicas más comunes es el llamado aprendizaje automático (machine learning), que consiste en examinar grandes cantidades de datos para después crear un modelo estadístico. Cuando encuentra nuevos datos, decide por sí misma comparando estos nuevos datos con el modelo creado. Lo mejor de la IA es que no necesita una coincidencia exacta. Tan solo busca patrones que sugieran resultados.

Este modelo es un sistema excelente para sondear y clasificar multitud de datos, con mucha mayor rapidez de la que sería capaz cualquier humano. En cuanto a los datos, pueden ser de cualquier tipo, desde fotos de gatos, a transacciones de tarjetas de crédito o correos electrónicos.

De los gatos al phishing

La IA ofrece importantes vías para la protección contra el phishing, y no precisa de una coincidencia exacta para detectar algo “sucio”. Un ciberdelincuente puede intentar modificar el lenguaje o el código HTML de un correo electrónico, haciéndolo diferente a todo lo que un escáner de phishing haya podido analizar antes. Una herramienta antiphishing tradicional podría no encontrar una coincidencia y obviar un correo electrónico. Un sistema de aprendizaje automático que haya analizado un número considerable de correos de phishing, seguirá encontrando en el nuevo correo señales lo suficientemente significativas para tacharlo de “sospechoso”.

Sin embargo, el aprendizaje automático va más allá de escanear el contenido del correo. Cada correo, contiene información adicional en forma de metadatos; información relativa al correo como el dominio original de procedencia, la identidad del destinatario y si lo recibieron otros miembros de la organización. Hay cientos de factores de este tipo que, en su conjunto, describen el comportamiento específico de cada correo.

La IA puede también analizar los correos para determinar su nivel de amenaza. Puede compararlo con el modelo de comportamiento habitual que haya creado para determinar si es “normal” o no. ¿Algún empleado ha recibido alguna vez un correo de este dominio? ¿Es habitual recibir correos a determinada hora del día, desde ese país? ¿Un determinado remitente se ha dirigido a varias personas de la empresa al mismo tiempo?

Las capacidades únicas del aprendizaje automático podrían ayudarnos a atrapar algunos phish más. Pero no nos debemos darnos por satisfechos, pues los delincuentes son también capaces de llegar hasta ahí. De hecho, los modelos de machine learning más avanzados permiten ya escribir correos de spearphishing que resultan realmente convincentes. En la constante batalla del gato y el ratón entre atacantes y defensores, nada permanece inalterable por mucho tiempo.

La ciencia de los datos es la clave del éxito

La inteligencia artificial y el machine learning son las claves del éxito de los departamentos de TI tras la pandemia. Muchas organizaciones han estado invirtiendo en formación para concienciar a sus empleados sobre la necesidad e importancia de la ciberseguridad, y eso es bueno. Pero deberían también priorizar y aplicar tecnologías avanzadas de automatización, inteligencia artificial y aprendizaje automático para identificar, verificar y remediar las amenazas de phishing de forma más rápida y consistente. Los CISO saben que no pueden confiar únicamente en los humanos falibles y distraídos para frustrar la actividad cibercriminal.

Un modelo de seguridad integral y “siempre activo”, capaz de detectar y prevenir las amenazas de phishing sin que afecte a la experiencia de los empleados, debería ocupar el primer puesto en la lista de prioridades de los CISO para el próximo año.

Por Nigel Seddon, vicepresidente de EMEA Oeste, Ivanti