¡No muerdas el anzuelo del phishing fiscal!

¿Sabías que tu próxima declaración de impuestos podría ser la puerta de entrada para los ciberdelincuentes a la información más valiosa de su empresa? 

Nos acercamos a ese periodo que a más de una organización pone nerviosa por el cumplimiento de sus obligaciones fiscales. La administración tributaria “afila sus navajas” para cumplir con su legítima búsqueda de cumplimiento y ejercer presión sobre aquellas empresas que, por descuido o irresponsabilidad, se desvían de las normas fiscales, imponiendo multas que pueden dejar heridas profundas en la salud financiera de cualquier organización.

Para complicar más este panorama, el cibercrimen aprovecha esta situación para atacar a nuestras organizaciones. Los ciberdelincuentes no están simplemente explotando vulnerabilidades técnicas, sino también vulnerabilidades humanas -la confianza, el miedo, y la urgencia- creando anzuelos sofisticadamente diseñados para que incluso el más precavido pueda morder. Y las empresas mexicanas son un apetitoso objetivo ante esta circunstancia.

Desde noviembre de 2023, usuarios mexicanos han sido objetivo de engaños de phishing relacionados con impuestos para distribuir un malware de Windows no documentado previamente, denominado «TimbreStealer». Cisco Talos , que descubrió este hecho, describió a sus autores como hábiles y mencionó que el actor de amenaza había usado tácticas similares anteriormente para distribuir un troyano bancario conocido como Mispadu en septiembre de 2023. Además de emplear técnicas sofisticadas de ofuscación para evitar detecciones y asegurar su persistencia, la campaña de phishing utiliza geolocalización para identificar específicamente a usuarios en México, entregando un archivo PDF inofensivo si la carga se intenta desde otras ubicaciones ¡muy ingenioso!  Este malware incluye varios módulos para orquestación, descifrado y protección del binario principal, realizando verificaciones para detectar si opera en un entorno controlado, si el idioma del sistema no es ruso y si se encuentra dentro de una zona horaria latinoamericana. Como puedes observar, hablamos de un actor de amenaza que no es ningún improvisado y que evidentemente tiene muy bien identificado que los contribuyentes mexicanos pueden caer en la trampa fácilmente.

El phishing no es algo nuevo, sin embargo, sigue siendo un instrumento muy utilizado por cibercriminales y cada vez se sofistican en mayor medida, de manera que pone en situaciones comprometedoras a los usuarios menos preparados. Imagina que la estafa de phishing fiscal es como un pescador experto que ha decidido que tu empresa es el pez más grande y valioso en el lago. Este pescador, usando como cebo las preocupaciones y responsabilidades que acompañan la temporada de impuestos, lanza su anzuelo esperando que alguien lo muerda. En lugar de usar lombrices o moscas, su anzuelo está adornado con correos electrónicos y mensajes que parecen requerimientos urgentes de entidades fiscales. Su objetivo no es alimentarse, sino infiltrarse en los sistemas de tu empresa para robar datos financieros y personales, entre otros maliciosos fines. Al igual que un pez sabio, tu organización debe estar preparada para evitar estos anzuelos y reconocerlos como peligrosos. Tu responsabilidad es entrenar a tu equipo para reconocer y evitar las tácticas de phishing.

¿Cómo hacerlo?

Adopta un enfoque holístico y estratégico. La protección contra estas amenazas requiere tanto de la tecnología adecuada como de una cultura de seguridad informada y proactiva dentro de tu organización. 

La primera línea de defensa contra el phishing es un equipo bien informado. Establece  un programa formal de concienciación en seguridad. Debes capacitar y entrenar a todos tus empleados, enseñándoles a identificar señales de correos electrónicos de phishing, mensajes sospechosos y solicitudes fraudulentas, especialmente durante la temporada de impuestos.

No dejes de lado la tecnología. Implementa soluciones de seguridad avanzadas y de última generación, incluyendo entre otras, software anti-malware, soluciones de filtrado de correo electrónico y de seguridad en la red y nube. Estas herramientas pueden ayudar a detectar y bloquear intentos de phishing y archivos maliciosos antes de que alcancen a tus usuarios finales.

Desarrolla políticas de seguridad claras y establece un plan de respuesta a incidentes. Esto debe incluir pasos específicos a seguir cuando se identifica un intento de phishing o se sospecha de una brecha de seguridad, así como la notificación a las autoridades pertinentes y a los afectados.

¡Anima a tus empleados a reportar intentos de phishing y a comunicar cualquier actividad sospechosa! Reconoce y recompensa las prácticas de seguridad proactivas para incentivar la participación activa en la protección de tu empresa.

En esta próxima temporada de declaraciones y pagos de impuestos, aprende a esquivar los anzuelos más tentadores, es esencial que tu organización se mueva con precaución y sabiduría en estas aguas. Es hora de fortificar tus defensas y mantener tus activos seguros. Empieza hoy.

Provehito in Altum
Por Juan Pablo Carsi

¿Estás seguro de que tu empresa va más allá del mero cumplimiento y realmente protege sus activos más valiosos contra las sofisticadas ciberamenazas actuales? 

La seguridad debe trascender la conformidad regulatoria para salvaguardar el futuro de tu organización en el dinámico entorno financiero mexicano.

Recientemente tuvimos la oportunidad de apoyar a una pequeña fintech, la cual sufrió un incidente y, por requerimiento de la autoridad, debía presentar ciertas evidencias que demostraran su actuación de acuerdo con las normativas.

Después de analizar los elementos facilitados, detectamos un sinfín de áreas de oportunidad. Sin embargo, más allá de bitácoras y controles, nos inquietó especialmente la tendencia a minimizar el caso y la escasa cultura de seguridad en la alta dirección, que incluso cuestionaba la existencia de ciberataques dirigidos a organizaciones nacionales, algo que consideraban casi ficticio. Lamentablemente, esta situación es algo que nos encontramos repetidamente.

Hace unos días, el equipo de ciber inteligencia de BlackBerry identificó una campaña de spear-phishing dirigida a instituciones financieras mexicanas que implementa una versión modificada del troyano de acceso remoto de código abierto AllaKore RAT. Este malware es obra de un actor de amenazas latinoamericano que busca cometer fraude financiero. Emplea tácticas de engaño con enlaces a documentos legítimos durante la instalación. El malware puede registrar teclas, controlar remotamente los equipos infectados y está adaptado específicamente para robar credenciales bancarias y realizar fraudes en bancos mexicanos y plataformas de comercio de criptodivisas. Este artefacto es solo un ejemplo del vasto arsenal latinoamericano que podemos encontrar para atacar organizaciones locales.

Piensa en un RAT (Troyano de Acceso Remoto) como un dron avanzado, operado en secreto por un competidor, que ha encontrado una ventana abierta para infiltrarse en tus oficinas centrales. Este dron no solo puede volar sigilosamente por todos los rincones recopilando información confidencial, sino que también tiene la capacidad de dejar pequeños dispositivos espía o incluso abrir puertas para que entren otros intrusos. Evidentemente, enfrentarse a este dron requiere de tecnología antiespía de última generación y una vigilancia constante para detectar y cerrar las ventanas abiertas, asegurando que la integridad de tu espacio aéreo corporativo esté protegida.

¿Qué puedes hacer para proteger a tu organización de este tipo de espías? 

En nuestro ‘cielo corporativo’, los drones de amenazas se vuelven cada vez más sofisticados, buscando brechas en nuestras defensas. Así como sería impensable dejar ventanas abiertas ante drones espía, en el ‘cielo digital’, el reto es aún mayor.

¡Capacita, capacita y capacita! Tus colaboradores deben estar al día sobre las ciberamenazas, incluyendo cómo reconocer intentos de phishing, ya que estos son a menudo el primer paso para la instalación de RATs. Además, debes fortalecer la seguridad de tu red, habilitar soluciones de detección y respuesta ante intrusiones, asegurar todas las conexiones remotas y cifrar los datos en tránsito.

Y no menos importante, tu equipo debe gestionar de manera rigurosa los accesos y contraseñas.

Estas medidas básicas son un buen comienzo y no solo ayudan a prevenir la intrusión de RATs sino que también refuerzan la resiliencia general de tu infraestructura TI frente a diversas amenazas. Pero ahora, quisiera hablarte de lo más importante: el cumplimiento regulatorio es, sin duda, un pilar para las instituciones financieras, no solo como medida preventiva ante sanciones, sino como una expresión de compromiso con la integridad y la transparencia. Sin embargo, la protección de activos va más allá del cumplimiento: es una cuestión de supervivencia empresarial. No se trata solo de evitar penas, sino de proteger el núcleo mismo de tu operación y la confianza de tus clientes. Como líder, tu visión debe trascender la conformidad regulatoria para abrazar una cultura de seguridad proactiva y resiliente que anticipe y contrarreste las amenazas, asegurando así la continuidad y el crecimiento sostenible de tu negocio. Si así lo enfocas, el cumplimiento llegará por sí solo.

Provehito in Altum
Por Juan Pablo Carsi