Check Point advierte de que “existen
en la web numerosos foros de hacking que enseñan cómo crear malware lucrativo
con unos conocimientos informáticos básicos”, además de la posibilidad de
“aprovecharse de las herramientas creadas por otros”.
Lanzar un ataque de ciberdelincuencia
es más sencillo de lo que algunos podrían pensar.
El experto de Check Point, Gadi Naveh,
así lo ha explicado en su charla “Build Your Own Cybercrime Empire in 20
minutes” con motivo del Mundo Hacker Day 2017. Este especialista en prevención
de amenazas avanzadas recuerda que “existen en la web numerosos foros de
hacking que enseñan cómo crear malware lucrativo con unos conocimientos
informáticos básicos. Por ejemplo, mediante el robo de información o de
credenciales bancarias, el chantaje o el ransomware“.
“Sin embargo”, añade, “existe un
método más rápido y fácil para crear un imperio del cibercrimen: aprovecharse
de las herramientas creadas por otros hackers“. De hecho, hoy en día existen
dos amenazas importantes, que serían los exploits kit-as-a-service y el
ransomware-as-a-service. También se ha vuelto común la descarga de malware
conocido que se vuelve indetectable para herramientas de protección
tradicionales gracias a programas localizables en internet
“Los ciberdelincuentes necesitan un
único momento de debilidad en la seguridad de una empresa para que su ataque
tenga éxito”, advierte Gadi Naveh.
Hoy en día cualquiera podría tonarse
en ciberdelincuente y lanzar un ataque de éxito siguiendo tres pasos. El
primero sería aplicar ingeniería social, creando páginas web falsas que se
hacen pasar por sitios en propiedad de entidades con las que la gente se relaciona
de forma online y ve como seguras, como los bancos. El objetivo final sería
ganarse la confianza de la gente e incitar a los empleados de una empresa, por
ejemplo, a que se relacionen con esa web e introduzcan sus credenciales. Desde
Check Point indican que hay herramientas online para la creación de este tipo
de páginas “en cuestión de minutos”.
En segundo lugar, con sólo buscar en
internet sería posible obtener listas de correo electrónico previo pago para
lanzar el ataque. Entre las personas incluidas en estas listas de contactos
estarían no sólo los trabajadores de escalas más bajas, sino los propios CEOs
de compañías.
Ya para finalizar, bastaría con
contratar a hackers un servicio que envíe desde dominios de apariencia legítima
los correos maliciosos con los que se quiere bombardear la lista de contactos
que se ha adquirido. Esto dificultaría la actuación de los filtros antispam.
Fuente: Silicon.es