Check Point ha hecho balance del año 2011 señalando este año como el de la consolidación de los ciberataques “dirigidos”, que han causado enormes brechas de seguridad en organizaciones globales concretas, incluyendo grandes bancos multinacionales, empresas de seguridad e incluso complejos industriales y militares. Los expertos de Check Point consideran que esta nueva forma de cibercrimen, que se vale de las personas para acceder a la información sensible y comprometer la seguridad de las grandes organizaciones, se consolidará como el principal problema durante 2012, con la “ingeniería social” como herramienta.
El primer diagnóstico que se puede establecer de estas brechas de seguridad es que los ataques han sido cuidadosamente planeados, orquestados y ejecutados, en lo que los expertos califican como “amenazas avanzadas persistentes” (APT, por sus siglas en inglés), ingeniados contra grandes corporaciones que operan con grandes volúmenes de activos, información de clientes y datos confidenciales. Es lo que se podría llamar “ataques dirigidos”, un modo de cibercrimen que se ha consolidado en 2011, y que en 2012 será la norma, según Check Point.
Otra similitud entre todos estos ataques es que están basados en técnicas de ingeniería social. Los cibercriminales se dirigen a los empleados de la organización, a los que manipulan, “hackeando la mente humana” para colarse en sus sistemas.
En el caso de Epsilon, uno de los proveedores de email marketing más grandes del mundo, los hackers consiguieron que un empleado cayera en su trampa al abrir un email de phishing y pulsar en un enlace. Sólo con ello, obtuvieron acceso a las credenciales del empleado, y las explotaron para llegar hasta la base de datos corporativa.
Según un reciente estudio de Check Point, la primera motivación de los ataques de ingeniería social es el lucro financiero (51%), seguido del acceso a la información (46%), la adquisición de ventaja competitiva (40%) y la venganza (14%). Este mismo estudio muestra que los costes para los negocios pueden oscilar entre los 25,000 y los 100.000 dólares por incidente de seguridad.
