Aumentan las estafas de suplantación de identidad en sitios web, pero las soluciones se quedan cortas: estudio

Las estafas de suplantación de sitios web se han convertido en un problema creciente, aunque muchas empresas no están satisfechas con las herramientas que tienen para abordarlas.

Un estudio publicado el martes por una empresa de soluciones de protección de riesgos digitales Memcyco descubrió que casi tres cuartas partes de las empresas han implementado una solución de protección contra la suplantación de identidad digital para evitar estafas en línea, pero el 6% de esas organizaciones están satisfechas de que les proteja a ellas y a sus clientes. «Eso es realmente impactante», dijo a TechNewsWorld el CMO de Memcyco, Eran Tsur.

Según el estudio, más de dos tercios de las empresas (68%) saben que sus sitios web están siendo suplantados y casi la mitad (44%) sabe que esto afecta directamente a sus clientes. El estudio se basa en una encuesta realizada a 200 empleados de tiempo completo de nivel director a C en las industrias de seguridad, fraude, digital y web en los Estados Unidos y el Reino Unido.

«Un sitio web falsificado puede generar importantes pérdidas financieras para los clientes si se les engaña para que proporcionen credenciales de inicio de sesión o información personal confidencial», afirmó Matthew Corwin, director general de Soluciones de guíauna firma global de seguridad, cumplimiento e investigaciones.

«La reputación de la marca puede verse gravemente dañada si los clientes son víctimas de estafas perpetradas a través de un sitio web suplantado, lo que erosiona la confianza en la empresa», dijo a TechNewsWorld.

Una estafa de suplantación de identidad en un sitio web puede dañar más que la reputación de una empresa. «También puede haber pérdidas financieras directas por fraude, así como costos indirectos relacionados con la reparación, honorarios legales y posiblemente alguna compensación al cliente», Ted Miracco, director ejecutivo de Aprobar Mobile Security, una empresa global de seguridad de aplicaciones móviles, dijo a TechNewsWorld.

Apoyándose en los informes de los clientes para la detección

El estudio también encontró que la forma más común en que dos tercios (66%) de las empresas encuestadas se enteraron de los ataques de suplantación de sitios web fue a través de informes de incidentes de los clientes afectados. «Eso es increíble», dijo Tsur. «Las soluciones implementadas no sólo no protegen ni previenen estos ataques, sino que las organizaciones no tienen idea de si estos ataques han tenido lugar o no».

Corwin de Guidepost Solutions señaló que las empresas que dependen principalmente de los informes de los clientes para detectar estafas de suplantación de identidad podrían perder alertas tempranas cruciales y la oportunidad de defenderse contra amenazas emergentes de manera proactiva. «Un enfoque reactivo pone la carga sobre los clientes, lo que puede dañar las relaciones y la confianza con los clientes», dijo.

«Conocer las estafas de los clientes significa que el ataque ya ha afectado a las personas, causando daños incluso antes de que comience la mitigación», añadió Miracco de Approov. «Los análisis periódicos son la única alternativa que podría eliminar sitios web falsos que imitan una marca, pero esto es un desafío, ya que hay que anticipar los eventos antes de que ocurran».

“Trabajar a partir de informes de clientes es un enfoque reactivo, no proactivo”, afirmó. No estoy seguro de que exista todavía una defensa adecuada, por lo que los usuarios deben estar informados y ser más cuidadosos antes de responder a correos electrónicos que parezcan legítimos”.

Un hallazgo aún más preocupante del estudio es que más del 37% de las empresas dijeron que se dieron cuenta de la existencia de sitios web falsos cuando los clientes afectados por estafas relacionadas con el phishing publicaban su experiencia en las redes sociales, una práctica conocida como «vergüenza de marca».

El estudio cuestionó cuánto tiempo más las empresas pueden permitirse el lujo de confiar en los clientes como su principal fuente de inteligencia sobre amenazas con IA y kits de phishing cada vez más disponibles.

«Con estos kits, todo está completamente automatizado», observó Tsur de Memcyco. «Puedes iniciarlo y olvidarlo».

La peor pesadilla de la ciberseguridad

Corwin explicó que la accesibilidad de herramientas impulsadas por inteligencia artificial y kits de phishing preempaquetados significa que incluso personas con menos habilidades técnicas pueden ejecutar ataques de suplantación convincentes. «Las herramientas de phishing mejoradas con IA pueden imitar sitios web legítimos con mayor precisión, engañando incluso a los usuarios más vigilantes y amplificando el panorama de amenazas», afirmó.

«A menudo», continuó, «los ciberdelincuentes también aprovechan nombres de dominio que parecen casi iguales a la dirección legítima de una empresa o marca, pero contienen ligeras variaciones o errores, lo que se conoce como ‘combosquatting’ o ‘typosquatting'».

«La IA es muy peligrosa», añadió Miracco. “Estas herramientas son muy fáciles de usar, incluso para personas sin conocimientos técnicos, lo que permite a prácticamente cualquier persona crear sofisticadas campañas de phishing. Es nuestra peor pesadilla de ciberseguridad hecha realidad, entregada personalmente por empresas que hablan de lo maravillosa que será la IA. Lamentablemente, los primeros en adoptar la mayoría de las tecnologías son malos actores”.

Patrick Harr, director ejecutivo de Barra diagonalSiguienteuna empresa de seguridad de redes en Pleasanton, California, señaló que las suplantaciones de sitios web han existido desde que nació la web.

«Por lo general, estos eran fáciles de detectar para casi cualquier usuario», dijo. «Lo que ha cambiado recientemente son dos cosas: los phishers están invadiendo dominios legítimos y los phishers están utilizando kits de phishing e inteligencia artificial para generar páginas web casi perfectas».

«Sin contramedidas de visión por computadora de IA, estas son muy difíciles de discernir y harán que los actores de amenazas tengan más éxito, no menos», sostuvo.

Estrategias para combatir las estafas de suplantación de sitios web

Roger Grimes, un evangelista de la defensa de saberbe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida, recomendó que todas las empresas que envían correos electrónicos implementen DMARC, SPF y DKIM, que son estándares globales antiphishing. «Intentan derrotar los correos electrónicos y enlaces maliciosos que afirman ser del dominio de envío legítimo», dijo a TechNewsWorld.

«Por ejemplo», explicó, «si recibo un correo electrónico que dice ser de Microsoft, el servidor/cliente de correo electrónico del destinatario puede usar DMARC, SPF y DKIM para ver si el correo electrónico realmente se originó en Microsoft».

Miracco recomendó que los sitios web de las empresas se aseguren de que todo el tráfico web esté cifrado con certificados SSL/TLS para que a los atacantes les resulte más difícil interceptar y falsificar las comunicaciones.

Añadió que las aplicaciones móviles deberían implementar mecanismos de certificación para verificar su integridad y garantizar que las interacciones con las API de backend solo se originen en instancias legítimas e inalteradas de la aplicación. También deberían contratar servicios de inteligencia sobre amenazas que puedan monitorear kits de phishing, dominios falsos y otros indicadores de suplantación.

Para contrarrestar tácticas como la typosquatting, Corwin señaló que las empresas pueden registrar variaciones obvias o posibles errores ortográficos de dominios existentes, incluidos nombres con guiones, otras extensiones de dominio populares y caracteres ligeramente fuera de orden.

«Existen servicios de monitoreo de marcas que monitorearán sitios de phishing y nuevos dominios que contengan propiedad intelectual de la empresa, y algunos incluso ayudarán con servicios automatizados de eliminación de dominios», dijo. «Estos pueden ayudar a algunas empresas, pero desafortunadamente, debido a que existen tantas variaciones potenciales de nombres de dominio y las herramientas actuales facilitan la creación de estos sitios de phishing, es probable que el riesgo persista».

Miracco añadió que las empresas no sólo deberían centrarse en las defensas tecnológicas sino también fomentar una cultura de conciencia de seguridad entre empleados y clientes.

«Las estafas de suplantación de identidad en sitios web son una amenaza que evoluciona rápidamente y requiere un enfoque multifacético», afirmó. La IA ha permitido este problema y, con suerte, en un futuro cercano implementaremos soluciones habilitadas para IA que puedan evitar que los usuarios cometan errores costosos con un sitio falso”.