La situación de amenaza en el espacio digital es cada vez más compleja y sofisticada. Según un estudio reciente, en la segunda mitad de 2023 hubo un aumento del 198 por ciento en los ataques de phishing basados en navegadores y un aumento del 206 por ciento en los ataques evasivos.
Durante el mismo período, se identificaron más de 31.000 amenazas especialmente diseñadas para evadir la detección por parte de las soluciones de seguridad. Las técnicas de ataque más comunes son el phishing, la ingeniería social, el smishing y los deepfakes. Estas tácticas tienen como objetivo explotar la susceptibilidad humana a la manipulación, lo que luego permite a los ciberdelincuentes obtener acceso a datos confidenciales.
Este avance es particularmente preocupante porque, a diferencia de los ataques de phishing tradicionales, los ataques basados en navegador requieren un nuevo nivel de confianza y precaución. Mientras que los correos electrónicos a menudo deben cumplir ciertas expectativas en cuanto al remitente, el contenido y el formato, con un navegador, un sitio web atractivo con una URL adecuada o el uso de un exploit suele ser suficiente para engañar a las víctimas y lanzar un ataque.
El uso de técnicas de evasión como Legacy URL Reputation Evasion (LURE) también es un ejemplo de la sofisticación y variedad de estrategias de ataque. Esta táctica implica tomar URL de sitios web confiables o mantener sus propios dominios inactivos durante períodos prolongados para establecer una forma de confidencialidad y crear una falsa sensación de seguridad entre las víctimas.
Protección contra amenazas basadas en navegador
La enorme escala de los ataques basados en navegadores ilustra la situación de las amenazas y muestra la necesidad de medidas defensivas eficaces. Particularmente alarmante es el uso cada vez mayor de ataques de phishing basados en navegadores que no dejan firmas ni rastros digitales reconocibles. Esta característica hace que muchos programas de seguridad comunes no puedan identificar los ataques ofuscados.
Dada la gravedad de la situación de amenazas y el hecho de que las soluciones de seguridad convencionales alcanzan rápidamente sus límites, es necesario cultivar una mayor conciencia sobre dichos peligros entre los usuarios. La capacitación en concientización sobre seguridad se puede utilizar para educar a los empleados sobre los diferentes tipos de ataques. De esta manera, aprenden estrategias sostenibles para reconocer y denunciar actividades sospechosas. Esto, a su vez, fortalece la cultura de seguridad de una organización y apoya a las empresas en la lucha contra amenazas cibernéticas cada vez más avanzadas.
Más en KnowBe4.com
Acerca de KnowBe4 KnowBe4, proveedor de la plataforma más grande del mundo para capacitación en concientización sobre seguridad y phishing simulado, es utilizado por más de 60.000 empresas en todo el mundo. Fundada por el especialista en seguridad de datos y TI Stu Sjouwerman, KnowBe4 ayuda a las organizaciones a abordar el elemento humano de la seguridad creando conciencia sobre el ransomware, el fraude de los directores ejecutivos y otras tácticas de ingeniería social a través de un nuevo enfoque para la educación en seguridad. Kevin Mitnick, un especialista en seguridad cibernética reconocido internacionalmente y Director de Hacking de KnowBe4, ayudó a desarrollar la capacitación KnowBe4 basada en sus bien documentadas tácticas de ingeniería social. Decenas de miles de organizaciones confían en KnowBe4 para movilizar a sus usuarios finales como última línea de defensa.