En una era definida por el auge de la IA, la falsificación profunda y otras formas de fraude digital fácilmente disponibles, los ciberdelincuentes tienen cada vez más acceso a herramientas que pueden potenciar estafas más sofisticadas.
Responsable de Desarrollo de Negocios Internacionales y Ventas en Group-IB.
Se están convirtiendo en el método de ciberataque preferido por estafadores hambrientos de dinero, con afirmaciones de activos falsas; ahora, los grupos de espionaje patrocinados por el estado dependen de estafas de phishing para infiltrarse en gobiernos y otras organizaciones importantes a nivel nacional.
El artículo continúa a continuación.
Estos grupos de Amenaza Persistente Avanzada (APT) no buscan dinero sino, como su nombre indica, acceso a largo plazo a secretos de estado. El resultado deseado de sus operaciones de infiltración es inicialmente el acceso a inteligencia estratégica crítica y posteriormente la capacidad de perturbar a sus adversarios desde dentro.
Y todo comienza con un vínculo aparentemente inofensivo.
el agua esta turbia
El phishing impulsado por software espía no es un fenómeno raro. Los investigadores del Grupo IB están rastreando activamente a los grupos de ciberespionaje patrocinados por el estado que habitualmente utilizan el phishing para obtener acceso a los secretos gubernamentales de sus adversarios.
Estos grupos utilizan cargas útiles comprometidas ocultas en comunicaciones falsas para obtener acceso a los sistemas, donde ocultan y desvían información el mayor tiempo posible.
Dos de estos grupos APT tienen los nombres en código MuddyWater y OilRig. En los últimos meses, MuddyWater ha llevado a cabo una campaña de phishing dirigida a más de 100 gobiernos y varias organizaciones internacionales con el objetivo de recopilar inteligencia geopolítica en toda la región de Medio Oriente y África del Norte.
Los correos electrónicos pueden parecer una amenaza inofensiva en comparación con la piratería avanzada o el ransomware, pero el phishing es una de las formas más efectivas de forzar el acceso. Esto se debe a que se basa menos en romper estrictos paradigmas de seguridad digital y más en manipular el comportamiento y las creencias de las personas.
Estos ataques de phishing son sistemáticos: utilizan correos electrónicos que parecen profesionales y documentos que parecen provenir de fuentes legítimas para entregar sus cargas útiles, por lo que incluso los profesionales capacitados pueden ser engañados.
No creas lo que ven tus ojos…
Una de las principales razones por las que los ataques de phishing tienen éxito es la supuesta legitimidad. Los grupos APT están explotando formas en que se baja la guardia de las personas, como solicitudes de empleo, invitaciones a eventos, enlaces a seminarios y solicitudes para compartir documentos. Es un juego de ilusión.
Los atacantes han aprendido que la forma más segura de eludir las defensas (especialmente en estos espacios de alto alerta) es parecer lo más real posible, asegurando que se conceda el acceso sin dudarlo. Cada vez más, esto significa que utilizan logotipos familiares, a veces incluso comprometiendo aplicaciones o proveedores de software legítimos.
Los correos electrónicos pueden provenir de direcciones genuinas y confiables que acaban de ser comprometidas y no muestran signos de un ataque.
Cuando las APT apuntan a los proveedores de servicios, el daño puede ser extenso. En 2021, por ejemplo, una empresa de ciberseguridad estadounidense descubrió que un atacante había logrado agregar una modificación maliciosa a los productos SolarWinds Orion.
El cambio les permitió enviar comandos de nivel de administrador a las instalaciones afectadas y casi 18.000 organizaciones descargaron la actualización comprometida.
Los ataques de phishing tienen tanto éxito porque ocultan un barniz de autenticidad y, a medida que se vuelven cada vez más difíciles de detectar, resulta prácticamente imposible para las víctimas creer lo que ven sus propios ojos. Para mantenerse a salvo, una defensa fuerte y en capas es crucial, pero son tan fuertes como la gente confía en ellas.
Atacar la cadena de suministro
Por supuesto, eso no significa que los sistemas gubernamentales no sean muy seguros. De hecho, los grupos de ciberespionaje patrocinados por el Estado son muy conscientes de la dificultad inherente de violar los sistemas gubernamentales.
Pero no es necesario.
En cambio, miran la cadena de suministro. Cada proveedor, contratista y prestador de servicios puede proporcionar un punto de entrada.
Las empresas privadas conectadas con agencias gubernamentales, aunque sea de forma remota, pueden presentar una posible puerta trasera para la explotación por parte de grupos de ciberespionaje: los piratas informáticos utilizan estas empresas como un trampolín para obtener acceso a los sistemas gubernamentales mediante sofisticados ataques de phishing.
Por lo tanto, el sector privado se está convirtiendo cada vez más en un participante involuntario en ataques de adversarios patrocinados por el Estado. Esto plantea una pregunta importante: ¿pueden las empresas privadas afirmar con confianza que sus ciberdefensas son tan fuertes como el eslabón más fuerte de su cadena de suministro?
De lo contrario, ellos mismos pueden convertirse en eslabones débiles que permitan que una APT comprometa todo el sistema.
Cómo mantenerse a salvo
Cuando se trata de APT patrocinadas por el Estado, una defensa sólida es esencial, combinando medidas proactivas y proactivas para mantener una protección constante.
La higiene cibernética, la aplicación constante de parches y mantenerse actualizado con las nuevas técnicas utilizadas por los actores de amenazas son fundamentales, pero las organizaciones pueden hacer más para protegerse contra los actores vinculados al estado implementando lo siguiente:
- Fortalecimiento de la inteligencia y el monitoreo de amenazas: realice una búsqueda continua de amenazas y suscríbase a fuentes confiables de inteligencia de amenazas para obtener información sobre los indicadores de compromiso (IOC) y tácticas, tácticas y procedimientos (TTP) más actualizados.
- Mejorar sus defensas contra el correo electrónico y el phishing: realice simulaciones periódicas e implemente sandboxing y escaneo de archivos adjuntos para ayudar a los empleados a estar preparados y conscientes.
- Implementación de controles de acceso y terminales: implemente MFA en todas las cuentas para evitar el acceso no autorizado al buzón de correo.
- Fortalezca la seguridad de su red e infraestructura: supervise el tráfico saliente y limite el uso de herramientas de gestión y supervisión remotas.
- Manténgase actualizado: revise periódicamente la información de TTP y asegúrese de que las soluciones y sistemas de seguridad se mantengan actualizados.
- Construya una defensa estratégica a largo plazo: implemente principios con privilegios mínimos para todos los sistemas críticos, implemente detección de anomalías basada en el comportamiento para cuentas y correo electrónico, y revise periódicamente sus manuales de respuesta a incidentes y crisis.
Ten cuidado, mantente seguro
A medida que aumentan las tensiones geopolíticas globales, la aparente legitimidad ya no es un marcador confiable de seguridad digital. Los atacantes dependen cada vez más de la confianza humana (un logotipo, un nombre o el reconocimiento de un proveedor) para introducir de contrabando cargas útiles comprometidas en sistemas seguros. Por tanto, la seguridad debería comenzar con la educación.
A medida que los ciberdelincuentes evolucionen, el software espía será más difícil de detectar. Ahora, proteger la cadena de suministro contra grupos de espionaje patrocinados por el Estado significa garantizar que cada eslabón de ella tenga el mismo nivel de protección y la misma conciencia de que, hoy en día, no siempre se puede creer lo que se ve.
Hemos destacado los mejores proveedores de correo electrónico seguros.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
