AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Uno de cada dos consumidores europeos confunde mensajes legítimos de marcas con intentos de estafa

admin

Introducción

La desconfianza hacia las comunicaciones digitales de las marcas alcanza niveles críticos en Europa. Según una encuesta reciente realizada por Sinch, empresa especializada en servicios de comunicación en la nube, el 50% de los consumidores reconoce haber confundido mensajes legítimos de empresas con intentos de phishing u otras estafas. Este fenómeno, lejos de ser anecdótico, refleja una crisis de confianza digital que afecta tanto a usuarios como a organizaciones, con profundas implicaciones para la ciberseguridad corporativa, la experiencia del cliente y el cumplimiento normativo.

Contexto del Incidente o Vulnerabilidad

El auge del phishing y otras formas de ingeniería social ha convertido canales como el email, SMS y mensajería instantánea en vectores de ataque cada vez más sofisticados. Los usuarios, saturados por la cantidad de notificaciones y mensajes comerciales, desarrollan una actitud defensiva ante cualquier comunicación que no puedan verificar de inmediato. La encuesta de Sinch, realizada entre consumidores y líderes empresariales europeos, revela que esta confusión es generalizada: uno de cada dos usuarios no es capaz de distinguir de forma fiable entre una comunicación auténtica y una potencial amenaza.

Los atacantes aprovechan la similitud visual, la suplantación de dominios (domain spoofing) y técnicas de pretexting para mimetizarse con campañas legítimas, dificultando la identificación incluso para usuarios avanzados. El contexto regulatorio, marcado por normativas como el GDPR y la inminente entrada en vigor de la Directiva NIS2, añade presión a las empresas para garantizar tanto la seguridad como la confianza en sus canales digitales.

Detalles Técnicos: Tácticas, Técnicas y Procedimientos (TTP)

Los ataques de suplantación de identidad suelen emplear técnicas recogidas en el framework MITRE ATT&CK, destacando especialmente:

– **T1566.001 (Phishing: Spearphishing Attachment) y T1566.002 (Phishing: Spearphishing Link):** Envío de correos o mensajes con enlaces o adjuntos maliciosos que simulan comunicaciones legítimas.
– **T1589.001 (Gather Victim Identity Information):** Recopilación previa de información sobre la víctima para personalizar el mensaje y aumentar su eficacia.
– **T1192 (Spearphishing Link):** Uso de URLs acortadas o dominios similares a los oficiales (typosquatting).

Los indicadores de compromiso (IoC) más habituales incluyen URLs de phishing, direcciones IP de dominios falsificados, hashes de archivos adjuntos y cabeceras de correo alteradas. Herramientas automáticas como Metasploit y kits de phishing as a service (PhaaS) han democratizado el acceso a TTP avanzadas, permitiendo a atacantes menos experimentados lanzar campañas masivas o dirigidas (BEC, Business Email Compromise).

Según datos recientes de ENISA, el 71% de las empresas europeas reportaron incidentes de phishing en 2023, y el coste medio por brecha derivada de ingeniería social supera los 150.000 euros, sin incluir sanciones regulatorias.

Impacto y Riesgos

La confusión del usuario ante las comunicaciones legítimas tiene un doble impacto:

1. **Aumento de la vulnerabilidad:** Si los usuarios no confían en los canales oficiales, pueden caer en campañas fraudulentas bien ejecutadas, facilitando el robo de credenciales, datos personales o acceso a sistemas corporativos.
2. **Deterioro de la experiencia de cliente y reputación de marca:** Las organizaciones pierden capacidad de comunicación efectiva, lo que puede traducirse en pérdida de negocio y sanciones por incumplimiento del GDPR y la futura NIS2. El riesgo reputacional es especialmente relevante en sectores como banca, telecomunicaciones y retail.

El riesgo de shadow IT y de utilización de canales no validados se incrementa si los usuarios buscan alternativas para verificar la autenticidad de los mensajes, abriendo nuevas superficies de ataque.

Medidas de Mitigación y Recomendaciones

Para mitigar este fenómeno, se recomienda:

– **Implementar DMARC, SPF y DKIM:** Estas tecnologías de autenticación de correo ayudan a prevenir la suplantación de dominios y garantizan la integridad de los mensajes.
– **Desplegar soluciones de Threat Intelligence:** Monitorizar campañas de phishing emergentes y actualizar los IoC en sistemas de filtrado y respuesta automática.
– **Formación continua y simulacros de phishing:** Capacitar a usuarios y empleados para identificar patrones de fraude, integrando ejercicios prácticos (phishing drills) en la cultura organizativa.
– **Verificación multifactor (MFA):** Exigir autenticación adicional en acciones sensibles iniciadas desde mensajes recibidos.
– **Uso de canales de comunicación verificados:** Fomentar el uso de apps móviles propietarias y portales seguros, minimizando el uso de SMS y correo para acciones críticas.

Opinión de Expertos

Según Isabel García, CISO en una multinacional del sector financiero: “La saturación de alertas y la sofisticación de los atacantes están erosionando la confianza en los canales digitales. La clave está en una combinación de tecnologías de autenticación, inteligencia de amenazas y una estrategia de formación continua para empleados y clientes”.

Por su parte, José Luis Hernández, analista SOC, señala: “Las campañas de phishing actuales emplean técnicas de personalización que dificultan la detección incluso para usuarios técnicos. La visibilidad sobre la cadena de suministro de correo y la monitorización proactiva son esenciales”.

Implicaciones para Empresas y Usuarios

El descenso en la confianza digital puede provocar una caída en la efectividad de campañas de marketing, reticencia a utilizar canales online y, en última instancia, un incremento de los costes de soporte y gestión de incidencias. Las empresas deben anticipar estos cambios, adaptando sus políticas de seguridad y comunicación, e invirtiendo en tecnologías de autenticación y monitorización.

A nivel normativo, el incumplimiento de los requisitos de notificación e integridad de las comunicaciones puede derivar en sanciones bajo el GDPR y, a partir de 2024, bajo la NIS2, especialmente en sectores críticos.

Conclusiones

La confusión entre mensajes legítimos y fraudulentos es ya uno de los principales retos de la ciberseguridad corporativa en Europa. Solo una estrategia integral, que combine tecnología, formación y transparencia, permitirá restaurar la confianza digital y reducir la vulnerabilidad ante las amenazas de ingeniería social.

(Fuente: www.cybersecuritynews.es)