Sin embargo, el phishing sigue siendo una de las principales amenazas para la seguridad informática, especialmente porque adopta formas más sofisticadas gracias a la inteligencia artificial (IA). Esta realidad subraya la necesidad de implementar enfoques innovadores, como el hacking ético, para fortalecer las defensas y proteger a las empresas de estos ataques cada vez más complejos.
El phishing es el tipo más común de ataque de ingeniería social: los atacantes envían correos electrónicos fraudulentos haciéndose pasar por organizaciones reales, y le piden a la víctima que haga clic en un enlace o proporcione información confidencial. Esta clase de ciberataques de ingeniería social suelen tener éxito porque se basan en la psicología humana, lo que dificulta que las personas reconozcan que están siendo manipuladas. Además, pueden ser muy específicos y centrarse en personas muy concretas dentro de una empresa, que tienen acceso a información confidencial.
El informe “Fraud Beat” revela que los ataques de phishing tuvieron un aumento del 81% entre 2022 y 2023 en todo el mundo. Latinoamérica cuenta entre las regiones más afectadas por este tipo de ataque: por ejemplo, un reporte de Kaspersky indica que entre junio de 2022 y julio de 2023 se registraron 286 millones de bloqueos de intentos de phishing,un aumento del 617% en comparación con los 12 meses previos, y un promedio de 783 mil ataques por día. Según este documento los países más afectados fueron Brasil (con 134 millones de intentos de ataque), México (43 millones), Perú (32 millones), Colombia (31 millones), Ecuador (12 millones), Chile (11 millones) y Argentina (9 millones). Así la cosas, elataque de phishing continúa siendo el vector más importante para el robo de datos personales y es el primer paso de los ciberincidentes que resultan en fugas de datos masivas.
Por su parte un informe de SOC Radar señala que América Latina se vio afectada por casi 6050 casos distintos de ataques de phishing en 2023: “Si bien el foco principal de estos ciberataques fue la industria manufacturera, las industrias de tecnología de la información, administración pública, finanzas y seguros también fueron los objetivos más comunes”, indica el reporte.
Seguridad informática
Ahora bien: ¿cómo defenderse frente a este tipo de ataques? El hacking ético es la primera línea de defensa ante ataques de ingeniería social, ya que permite identificar vulnerabilidades y deficiencias antes de que puedan ser aprovechadas por los potenciales atacantes.
Lo que hacen los hackers éticos es simular las acciones de piratas informáticos y detectar zonas en el sistema de una empresa que representan riesgos o podrían ser explotadas por los ciberdelincuentes, de forma tal de corregirlas a tiempo. Así es como pueden comprender las debilidades y fortalezas de toda la infraestructura digital de la empresa tales como sistemas informáticos, redes y aplicaciones para construir una sólida línea de defensa.
¿Cómo se lleva adelante esta actividad en la práctica? En realidad, los hackers éticos usan las mismas herramientas y estrategias que las que utilizan los maleantes, pero con otros objetivos: su misión es mejorar la seguridad informática y la protección de la organización, mediante acciones preventivas. Para hacerlo cuentan con el permiso, el consentimiento y el aval de la empresa o de los propietarios de los sistemas. Estas acciones preventivas suelen incluir campañas de phishing, vishing y smishing (es decir, técnicas de ingeniería social): el objetivo es descubrir la vulnerabilidad de los empleados o clientes de una empresa a las estafas digitales que se perpetran por correo electrónico, teléfono o mensaje de texto.
Hacking ético
A la hora de prevenir ataques de phishing, los hackers éticos realizan pruebas realistas y, por ejemplo, intentan engañar a los empleados, obtener acceso no autorizado o manipular a personas dentro de una organización para evaluar las defensas de seguridad. Concretamente envían correos electrónicos de phishing simulados para ver cuántos empleados caen en la estafa y potencialmente revelan información confidencial o hacen clic en enlaces maliciosos. De esta forma se logran tres cosas importantes:
- Se revisa la susceptibilidad de la empresa a ataques de phishing.
- Se identifican áreas en las que se necesita capacitación y concientización sobre seguridad informática.
- Se detectan áreas de mejora a nivel de controles, procedimientos y políticas de ciberseguridad.
Además de probar los sistemas de seguridad de una empresa, los hackers éticos también pueden educar a los empleados sobre cómo reconocer y prevenir los ataques de ingeniería social (por ejemplo, cómo identificar correos electrónicos de phishing y más).
En un mundo donde las amenazas de ciberseguridad, como el phishing, continúan evolucionando y volviéndose más sofisticadas, la prevención y el fortalecimiento de las defensas son esenciales para la protección de cualquier organización. El hacking ético se posiciona como una herramienta clave para identificar vulnerabilidades y mejorar la resiliencia ante posibles ataques, contribuyendo a una infraestructura digital más segura y robusta.