Del smishing a una ciberseguridad más sofisticada

En la era de las aplicaciones de mensajería y las redes sociales, los SMS parecen arqueología, pero hay quienes todavía los utilizan. Entre otros, también los ciberdelincuentes que emplean la técnica del smishing para estafar a las personas. Se trata de un tipo de ataque muy similar al más famoso phishing y que indica una cosa: los ciberdelincuentes aprovechan todas las vulnerabilidades, ya sean nuevas o antiguas. 

Frente al auge del Internet de las cosas (IoT), la computación cuántica y los entornos inmersivos, aumentan el tamaño de las redes y la complejidad de los dispositivos: con ello también se multiplican las posibles brechas de seguridad. La economía cibercriminal está en continuo crecimiento. Según la Agencia de Ciberseguridad de la Unión Europea (ENISA), cada mes se roban más de 10 terabytes de datos y más del 60 % de las organizaciones podría haber pagado un rescate. 

Se desarrollan técnicas cada vez más eficaces para la propagación de malware, especialmente ransomware, ataques DDoS, phishing, BEC o herramientas de ingeniería social. Sin embargo, la creatividad no necesariamente va de la mano de la propensión a la innovación. A menudo, los delincuentes digitales simplemente aprovechan lo que existe, pero lo utilizan de una manera nueva. Como explica Soledad Antelada, miembro del Security Technical Program Manager de Google, en el pódcast Innoverse de la Fundación Innovación Bankinter, “los ciberdelincuentes son muy vagos, su objetivo es causar el máximo daño con el mínimo esfuerzo. Lo que avanza es la tecnología de por sí”.  

Por tanto, la principal dificultad reside en el hecho de que la superficie de ataque se amplía y se vuelve más compleja. “Hoy la mayor vulnerabilidad está representada por la inmensa cantidad de datos que hay pululando por ahí”, asegura Antelada. Es también por eso que para trabajar en el efervescente mundo de la ciberseguridad se requiere una actualización continua y no se puede delegar todo en el usuario final. 

Según Antelada, “el que tiene que ocuparse de los riesgos es quién produce el dispositivo IoT. Es decir, el usuario se puede equivocar mil veces sin abrir las puertas a un ataque, que depende de la debilidad del sistema. En general, una cosa es lo que el usuario puede hacer como buenas prácticas y otra la ciberseguridad que los profesionales que administran un sistema aplican con diferentes niveles de complejidad”. 

En todo esto, si las tecnologías desempeñan un papel decisivo en la lucha contra el cibercrimen, sin la concienciación de las personas y los expertos, la defensa está destinada al fracaso. La ciberseguridad debe ceñirse a las 3C y ser: Completa, Consolidada y Colaborativa. Completa indica la capacidad, o la ambición, de proteger cualquier vector posible: correo electrónico, aplicaciones web, servidores, clients, dispositivos móviles, IoT, etc. Esta defensa de 360 ​​grados tiene en cuenta técnicas ofensivas cada vez menos convencionales, lo que conduce a la cuarta C: Creatividad. 

De hecho, el papel exclusivamente reactivo ya no es suficiente, aunque la respuesta rápida a los ataques sigue siendo crucial. La capacidad de prevención desempeña un papel fundamental, porque las políticas restrictivas y los controles de acceso ya no son suficientes para mitigar los peligros a los que está potencialmente expuesta toda organización. Entre las prácticas más útiles, Antelada menciona las ejercitaciones llamadas tabletops, “simulacros de lo que podía pasar una empresa en caso de ataque”. 

De cara al futuro, la experta considera que tampoco hay que imaginar ataques que de repente ‘apaguen internet’: “se trabaja en el balanceo de carga y no todos los datos se almacenan en un único sitio, se hacen muchas réplicas y, por lo general, hay muchas maneras de prevenir que esto pase”. Además, vaticina la experta, “creo que en unos años habrá mucha más madurez y la gente estará mucho más formada: veo un futuro muy dinámico, aunque con bastante incertidumbre”.