El correo electrónico sigue siendo la aplicación profesional más utilizada... Y también el objetivo número uno de los piratas informáticos, sobre todo porque es una aplicación muy difícil de proteger. Esta observación ciertamente no es nueva, pero a medida que los usuarios sospechan más de los correos electrónicos que les llegan, las amenazas se vuelven más sofisticadas. Esta es, en cualquier caso, una de las principales conclusiones del último informe de Cloudflare sobre phishing, un informe basado en el análisis de 13.000 millones de mensajes entre mayo de 2022 y mayo de 2023 y en entrevistas con 316 responsables de seguridad informática de empresas de todo el mundo (una parte del estudio realizado por la firma Forrester).

Para hacer que sus mensajes sean creíbles a los ojos de los usuarios, pero también para eludir los sistemas de protección, los ciberdelincuentes utilizan una combinación de tácticas, mezclando trucos técnicos e ingeniería social. En total, de todos los correos electrónicos analizados, Cloudflare aisló cerca de 280 millones de indicadores de compromiso, clasificados en 30 categorías diferentes.

La más amplia de estas categorías (con un 36% de los indicadores) sigue siendo la de los enlaces comprometidos, que los atacantes introducen en sus mensajes para tomar el control del ordenador de un usuario o extraer de este último datos explotables o monetizables (códigos de acceso, información de tarjetas bancarias, etc.). En este ámbito, Cloudflare destaca la campaña llevada a cabo durante la quiebra del Silicon Valley Bank: un sofisticado esquema que comienza con un enlace contenido en un correo electrónico, con nada menos que 4 redirecciones. Esta campaña de phishing se dirigió a personas de varias empresas (incluido, irónicamente, el director ejecutivo de Cloudflare).

Índice
  1. Phishing que rebota de un canal a otro
  2. Cultura paranoica

Phishing que rebota de un canal a otro

La empresa estadounidense destaca otra tendencia, signo de esta creciente sofisticación de la amenaza: el phishing multicanal, cuyo objetivo es iniciar intercambios con un objetivo en diferentes vectores, a menudo a partir de un enlace en un correo electrónico. Y citemos el ejemplo de una campaña dirigida a sus empleados y basada en mensajes de texto, un sitio de inicio de sesión falso para la plataforma de identificación Okta y el envío de contraseñas de un solo uso. Según el informe, sólo uno de cada cuatro líderes de ciberseguridad encuestados cree que su organización está bien preparada para este tipo de amenazas.

Otro indicador clave de la vulneración del correo electrónico, el robo de identidad, ha aumentado durante el último año y ahora representa el 14,2% de los indicadores detectados, en comparación con el 10,3% de hace un año. El objetivo de los delincuentes aquí es explotar la confianza que los usuarios depositan en una marca o contacto. Si la masa de correos electrónicos analizados por Cloudflare revela que más de 1.000 marcas diferentes son desviadas para campañas de phishing basadas en la suplantación de identidad, 20 de ellas concentran más del 50% de los casos, ocupando Microsoft, la Organización Mundial de la Salud (OMS) y Google los primeros puestos. 3. En Europa, las marcas más expuestas a estas apropiaciones indebidas son la OMS, Louis Vuitton, Investec, Chanel y Generali.

Cultura paranoica

Para Cloudflare, que habla por sí solo, las técnicas tradicionales de autenticación de correo electrónico a menudo resultan impotentes frente a estas nuevas formas de phishing. Según el proveedor, el 89% de los mensajes sospechosos no se filtran mediante protocolos estándar como SPF (Sender Policy Framework, estándar de verificación de nombres de dominio del remitente), DKIM (DomainKeys Identified Mail, estándar de autenticación de nombres de dominio). dominio del remitente) o registros DMARC (Autenticación, informes y conformidad de mensajes basados ​​en dominio, que estandariza la autenticación de correos electrónicos por parte de los destinatarios). “Los atacantes pueden enviar con éxito un mensaje de suplantación de identidad u otro tipo de correo electrónico de phishing mediante el uso de un dominio recién registrado. Pero cada día se registran miles de nuevos dominios”, señala Cloudflare en su informe.

Y recomendar la aplicación de una política Zero Trust al correo electrónico, la implementación de una defensa que combine múltiples controles anti-phishing, el despliegue de una autenticación multifactor (con preferencia por las claves físicas que, en Cloudflare, permitieron detener el ataque de phishing multicanal mencionado anteriormente), el aislamiento de los enlaces provenientes del correo electrónico (aislamiento remoto del navegador) y, por supuesto, el desarrollo de "una cultura un poco paranoica dentro de la organización con respecto a cualquier mensaje que llegue a un buzón del usuario. "Durante un ciberataque, cada minuto cuenta", escriben los autores del informe. Establecer una cultura paranoica pero libre de culpas que permita reportar actividades sospechosas con rapidez y frecuencia, así como errores honestos, ayuda a garantizar que los incidentes (por raros que sean) sean detectados. lo más rápido posible. »