Los datos disponibles públicamente permiten ciberataques empresariales



Los adversarios recorren las plataformas de redes sociales y utilizan otras tácticas para recopilar información que facilite los ataques empresariales dirigidos, según muestra una investigación.

La mayoría de los líderes en seguridad son muy conscientes de la amenaza que representan las estafas de phishing para la seguridad empresarial. Lo que llama menos la atención es la gran cantidad de información disponible públicamente sobre las organizaciones y sus empleados que permite estos ataques.

Los investigadores de Kaspersky examinaron recientemente los diferentes métodos que utilizan los ciberdelincuentes para recopilar información disponible públicamente y aparentemente no amenazante sobre empresas y dox, o atacarlos con él. El proveedor de seguridad descubrió que los adversarios están dedicando mucho más esfuerzo y recursos a la recopilación de datos para ataques empresariales de lo que lo harían en ataques a usuarios individuales debido a las recompensas monetarias potencialmente más altas.

«Los datos públicos son el primer paso para recopilar datos privados», dice Roman Dedenok, investigador de seguridad de Kaspersky. Contrariamente a la percepción, los atacantes no siempre necesitan piratear los sistemas para obtener acceso a los datos confidenciales de una organización, dice. A menudo es más fácil para los ciberdelincuentes piratear una organización utilizando el aspect humano, dice Dedenok. «Los ciberdelincuentes pueden utilizar información pública para recopilar datos privados y también obtener acceso a las finanzas de la empresa y dañar la reputación».

Kaspersky encontró que las fuentes en línea de acceso público, incluidas las plataformas de redes sociales como LinkedIn y Fb, son las fuentes de información principales y, a menudo, las más ricas para los phishers y otros ciberdelincuentes. Estas plataformas a menudo revelan los nombres y puestos de los empleados y ejecutivos clave, como el director ejecutivo, el jefe de recursos humanos y las personas a cargo de las finanzas y la contabilidad.

La información disponible públicamente en estos sitios, como los &#39amigos&#39 o conexiones de un alto ejecutivo, puede ayudar a los adversarios a descubrir rápidamente la jerarquía de una organización, los subordinados directos de un ejecutivo y otra información que puede ser extremadamente útil para llevar a cabo ataques. Incluso los datos aparentemente intrascendentes, como la publicación de un individuo en Facebook sobre restaurantes, gimnasios o lugares que visita, pueden proporcionar información útil para el phishing y otros ataques de ingeniería social.

El compromiso del correo electrónico empresarial (BEC) es un ejemplo del tipo de ataques que pueden permitir estos datos, según Kaspersky. Los atacantes suelen utilizar datos sobre individuos y sus organizaciones obtenidos de foros de acceso público para ganarse la confianza de la víctima. Una táctica común es hacerse pasar por el remarkable, el compañero de trabajo o el representante de terceros de la víctima para lograr que la víctima tome alguna medida por ejemplo, separarse de sus credenciales, robar datos confidenciales o iniciar transferencias bancarias a una cuenta controlada por un atacante. Solo en febrero, los investigadores de Kaspersky registraron un whole de 1.646 ataques BEC únicos.

Kaspersky descubrió que las fugas de credenciales, como las que involucran depósitos de almacenamiento en la nube de Amazon configurados incorrectamente, son otra gran fuente de datos útiles para los delincuentes. En los últimos años, ha habido un aumento significativo en este tipo de fugas, lo que ha resultado en un mayor riesgo para los propietarios de repositorios de datos filtrados.

La amenaza del píxel de seguimiento

Otro método común entre los atacantes implica el llamado «píxel de seguimiento», una técnica que utilizan los correos electrónicos masivos para saber si un destinatario de correo electrónico abrió el mensaje o no, observó Kaspersky. Los atacantes a menudo usan esta utilidad en los correos electrónicos enviados a destinatarios específicos para recopilar información sobre cuándo se abrían normalmente los correos electrónicos y el cliente de correo electrónico del destinatario, la dirección IP y otros datos que pueden usar para hacerse pasar por otra persona en futuros ataques.

La amenaza para las organizaciones de tal doxing puede variar, dice Dedenok. «Para algunas empresas, la pérdida de una gran cantidad de dinero puede ser crítica, para otras, la filtración de información secreta privada puede ser un desastre», señala.

La información recopilada de fuentes disponibles públicamente puede ayudar a los atacantes a acceder a datos que luego pueden usarse como palanca para extorsionar a las víctimas. Si una organización se niega a pagar, podría sufrir daños en la marca cuando los datos comprometidos aparezcan más tarde en algún foro prison, señala.

«Por lo normal, esto es una extorsión de dinero o un daño a la marca y la reputación», dice Dedenok. «Puede haber casos exóticos (en los que) los ciberdelincuentes (podrían) publicar datos privados para reducir las acciones de la empresa y ganar dinero con ellos».

Kaspersky recomienda que las organizaciones establezcan y hagan cumplir una regla rígida que prohíba a los empleados discutir asuntos relacionados con el trabajo en foros de acceso público. Los empleados también deben ser conscientes de los riesgos y las tácticas agresivas que utilizan los ciberdelincuentes para recopilar datos que podrían resultar útiles en los ataques contra empresas.

«Para que las empresas eviten que los empleados discutan los procesos de trabajo en mensajeros / redes sociales de terceros, es necesario no solo prohibir esto, sino explicar por qué es peligroso», dijo Dedenok. «Esta es una tarea difícil, pero necesaria».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique