Campañas de spear phishing auspiciadas por gobiernos se mantienen activas

Agencias rusas son vinculadas con estas campañas

Los ataques de spear phishing vuelven a aparecer en las noticias luego de que el Departamento de Justicia acusó formalmente a 12 oficiales de inteligencia militar rusos de utilizar este recurso como parte de una amplia campaña para dar a conocer información comprometedora (kompromat) diseñada para interferir en los procesos políticos de EU.

Oficiales de inteligencia estadounidenses advierten que las campañas maliciosas de phishing patrocinadas por gobiernos no han disminuido, así que, ¿qué pueden hacer las potenciales víctimas?

Para empezar, cualquiera que esté en riesgo debería usar autenticación de dos factores (2FA) para salvaguardar sus cuentas de correo y en la nube. El uso de 2FA generalmente requiere que los usuarios ingresen no sólo una contraseña cuando inician sesión, sino también un código único de un token digital o físico.

Límites de 2FA

Si bien este es un paso importante, no hay una solución mágica para protegerse contra el spear phishing, mencionan especialistas en cursos de protección de datos personales.

Expertos en seguridad informática consideran que si un atacante puede engañar a los usuarios para obtener una contraseña, pueden engañarlos para obtener un código adicional de 6 dígitos. 2FA puede proteger contra otros ataques importantes, como la contraseña robada de un sitio y utilizada en otro, o la vulneración de las bases de datos de contraseñas. Pero cualquier sistema 2FA que involucre al usuario ingresando un código es susceptible de ser sustraído mediante phishing.

Muchos sitios y servicios, incluidos Google, Microsoft Office 365 y Salesforce, entre otros, permiten a los administradores solicitar a los usuarios el uso de autenticación de dos factores para iniciar sesión. Pero expertos en cursos de protección de datos personales dicen que los usuarios que manejan información sensible necesitan más que un sistema que les envíe un código a través de una aplicación o su teléfono. Eso es porque los atacantes también pueden engañar a los usuarios para que ingresen el código en sitios fraudulentos.

La epidemia de phishing continúa

El problema con el phishing es que depende de la ingeniería social, lo que significa que está diseñado para engañar a los usuarios, y puede potencialmente utilizarse para comprometer cualquier cuenta en línea. Desafortunadamente, los humanos somos fáciles de engañar, al menos a veces, y cometemos errores. Además, la campaña de phishing puede replicarse cuantas veces sean necesarias hasta que rinda frutos.

La gravedad de la amenaza de phishing se puede apreciar en el modo en que el tema se ha tratado recientemente. Expertos en cursos de protección de datos personales describen características como la naturaleza cada vez más específica de los ataques de phishing, o la importancia de tener en cuenta el factor humano, así como la capacitación a usuarios de computación, el uso tecnología para extraer datos de correos electrónicos y archivos adjuntos y la implementación de seguimiento de dominios maliciosos para bloquear de mejor manera las campañas de phishing, pues no hay una solución única para tratar con este problema.

El caso de John Podesta

Mucho de nuestras vidas personales y profesionales se encuentra alojado en algún servidor en línea, con lo que incrementa el impacto del phishing a diario.

Una de las víctimas de phishing más prominentes en los últimos años fue John Podesta, director de la campaña electoral de Hillary Clinton. Los fiscales federales dicen que el mismo grupo de oficiales del Departamento Central de Inteligencia de Rusia (GRU) que atacaron al Comité de Campaña Demócrata y al Comité Nacional Demócrata también atacaron la cuenta de correo electrónico personal de Podesta.

La cuenta de correo electrónico personal de Podesta estaba lejos de ser la única víctima de los supuestos atacantes rusos. De acuerdo con expertos en cursos de protección de datos personales, la campaña de intervención rusa apuntó a víctimas en 39 países.

Objetivos en EU, Alemania, Italia y más allá

Para contextualizar, las palabras “spear phishing” se mencionaron 22 veces en la acusación del Departamento de Justicia del 13 de julio, que dice que la táctica fue utilizada para penetrar no sólo la campaña presidencial del Partido Demócrata y Hillary Clinton, sino también “oficinas estatales y de condado responsables de administrar las elecciones estadounidenses de 2016”. Se piensa que además se alcanzaron las oficinas electorales estatales de EU, así como a los vendedores de máquinas electoras y software de elecciones.

Además de la intervención a las cuentas de Podesta y del Partido Demócrata, los otros objetivos del ataque incluían cuentas utilizadas por el parlamento alemán, el ejército italiano, el ministerio de asuntos exteriores saudí, así como Philip Breedlove, ex comandante supremo aliado de Europa de la OTAN, y Colin Powell, ex Secretario de Estado de EU.

Acorde a reportes de expertos en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética, cualquiera puede ser víctima de un ataque de phishing, es por eso que todos debemos ser más inteligentes y fomentar mejores prácticas como usuarios de equipos informáticos para defendernos de ellos.