Los datos de acceso a cuentas -como el nombre de usuario y la contraseña- se han convertido en preciado objetivo para los ciberdelincuentes. Y uno especialmente importante si tenemos en cuenta que un único conjunto de credenciales robadas puede poner en riesgo toda la red de una empresa.

De acuerdo con el último Informe sobre Fugas de Datos de la empresa de telecomunicaciones Verizon, el 83% de las fugas detectadas procedían de elementos exteriores y en el 49% de ellas comenzaron con un robo de credenciales. De acuerdo con el mismo estudio, la ingeniería social es una de las cinco principales amenazas para la ciberseguridad en 2023. Este término agrupa todas las técnicas de manipulación de un usuario para obtener información privada, acceso a sistemas o dinero. 

Según el informe, el phishing representa el porcentaje más importante de estos intentos de utilizar la ingeniería social. En gran medida porque se trata de una táctica relativamente barata y efectiva cuando se utiliza con envíos masivos. Todo ello se traduce en que, a medida que las técnicas de phishing e ingeniería social se vuelven más sofisticadas y las herramientas más fáciles de conseguir, el robo de credenciales se está consolidando como una de las principales preocupaciones de ciberseguridad para todas las organizaciones, y las proyecciones apuntan a que lo seguirá siendo en los próximos años.

Porque, además, el phishing está evolucionado. Los cibercriminales quieren ir más allá de los correos electrónicos y las campañas que implican este tipo de estafas son ahora multicanal. Además del e-mail se sirven de mensajes de texto (smishing) y de voz (vishing)para dirigir a las víctimas a sitios web maliciosos y, en algunos casos, lo acompañan con una llamada telefónica de seguimiento para continuar con el engaño.

Un conjunto de amenazas que se dirige principalmente a los dispositivos móviles, esperando encontrar una menor vigilancia por parte de los usuarios. Se estima que la mitad de los dispositivos personales estuvieron expuestos a algún tipo de ataque de phishing cada trimestre de los últimos años.

Así, en 2022, había más de 24.000 millones de credenciales a la venta en la Dark Web. Lo que supone un notable aumento con respecto a 2020. El precio de las credenciales robadas varía en función del tipo de cuenta. Las de acceso a cuestiones bancarias son mucho más valiosas que las de datos de sesión de cloud, por ejemplo. 

Apoyo de la IA

Por otro lado, la inteligencia artificial (IA) se ha convertido en un factor a tener en cuenta. La IA se está aplicando para que el contenido del phishing sea más realista y efectivo, además de ampliar el alcance de los ataques.

Utilizando los datos de investigación de las víctimas, la IA puede crear mensajes de phishing personalizado y luego refinarlos para añadir un barniz de legitimidad y obtener mejores resultados. El phishing se ha convertido en un negocio propio que incluye el desarrollo de phishing como servicio (PaaS). Con estos kits de phishing que se venden en foros clandestinos de la dark web, incluso personas sin habilidades avanzadas en informática para infiltrarse en sistemas informáticos por sí mismos pueden tener la capacidad de lanzar un ataque.

El modelo del PaaS funciona como el de las empresas de software como servicio (SaaS). Hay incluso modelos de suscripción y se requiere la compra de una licencia para que los kits funcionen.

Y los riesgos de las credenciales robadas se agravan si los usuarios finales reutilizan contraseñas en varias cuentas. Los actores de las amenazas pagan por las credenciales robadas porque saben que muchas personas utilizan la misma contraseña en múltiples cuentas y servicios web, tanto para fines personales como empresariales. Por muy impenetrable que sea la seguridad de tu organización, puede resultar difícil impedir la reutilización de credenciales válidas robadas de otra cuenta.