Los ciberdelincuentes están dirigiendo su estrategia hacia las personas para engañarlas y hacerlas cómplices involuntarias de sus ataques. Esta es una de las conclusiones del estudio «Human Factor 2016» que ha realizado la empresa Proofpoint, experta en ciberseguridad, cuya oferta comercializa Exclusive Networks.
El informe indica que a lo largo de 2015 el factor humano ha sido decisivo en el robo de información y dinero. Kevin Epstein, vicepresidente de operaciones de amenazas de Proofpoint, subrayó que «la curiosidad y la credulidad —innata en los seres humanos— es ahora explotada a una escala sin precedentes. Los ciberdelincuentes ya no utilizan caras y sofisticadas técnicas de exploit; lanzan sencillas campañas de gran volumen articuladas en torno a la ingeniería social. Las personas son utilizadas como peones involuntarios para autoinfectarse con malware, ceder sus credenciales de clave y transferir dinero de manera fraudulenta en nombre de los atacantes».
El estudio revela que más del 99 % de todos los documentos utilizados en campañas de correo electrónico con código malicioso ejecutable se basaban en al interacción humana; aunque durante el año 2015 uno de los vectores de infección más empleados para propagar ransonware fue el uso de de kits de exploits, una tendencia que seguirá este año.
Los troyanos bancarios fueron el tipo de documento adjunto más malicioso más popular en campañas de correo electrónico basura; y además se comprobó que los ataques se programan para asegurarse su efectividad.
El informe también alerta de que las estafas mediante phishing son 10 veces más comunes en los medios sociales que el malware. Las cuentas fraudulentas en redes sociales pretendiendo representar a marcas conocidas, se dispararon el año pasado. El 40 % de las cuentas de Facebook y el 20 % ciento de las de Twitter que dicen representar a una de las 100 mejores marcas del mundo son ilegales.
Además las aplicaciones móviles peligrosas provenientes de mercados fraudulentos afectan al 40 % de las empresas. Y las personas descargaron voluntariamente más de 2.000 millones de aplicaciones móviles destinadas al robo de datos personales. Proofpoint descubrió más de 12.000 aplicaciones móviles maliciosas en tiendas Android autorizadas. Muchas podían robar información o crear puertas traseras.