La Unidad de Delitos Digitales de Microsoft ha observado un aumento del 38 por ciento en el cibercrimen como servicio dirigido al correo electrónico empresarial entre 2019 y 2022

Microsoft Threat Intelligence
  • Los ataques que comprometen el correo electrónico corporativo (BEC) se han sofisticado con la utilización de direcciones IP residenciales para simular cercanía con sus objetivos.
  • Los delincuentes utilizan plataformas como BulletProftLink, un servicio de extremo a extremo que incluye guías, plantillas, alojamiento y servicios automatizados para realizar este tipo de ataques.
  • Microsoft realiza una serie de recomendaciones para ayudar a estar más protegidos ante estos ataques BEC.

Microsoft ha lanzado hoy la cuarta edición de su informe trimestral sobre amenazas, Cyber Signals, que destaca un aumento en la actividad cibercriminal en torno al compromiso del correo electrónico empresarial (BEC). En concreto, Microsoft ha observado un aumento del 38 por ciento en el cibercrimen como servicio (CaaS) dirigido al correo electrónico empresarial entre 2019 y 2022.

Los ataques BEC con éxito cuestan a las organizaciones cientos de millones de dólares al año y se distinguen en la industria del cibercrimen por su énfasis en la ingeniería social y el arte del engaño. Entre abril de 2022 y abril de 2023, La Unidad de Delitos Digitales (DCU) de Microsoft Threat Intelligence detectó e investigó 35 millones de intentos BEC, lo que supone una media de  156.000 intentos diarios de este tipo de ataques. La compañía realizó 417.678 eliminaciones únicas de URL de phishing entre mayo de 2022 y abril de 2023 y ha detectado, además, nuevas tácticas con las que este tipo de ataques podrían realizarse a escala industrial

Tácticas comunes de los ataques BEC

Los intentos de ataques BEC pueden realizarse de muchas formas, incluso a través de llamadas telefónicas, mensajes de texto, correos electrónicos o redes sociales. La suplantación de mensajes de solicitud de autenticación y la suplantación de identidad de individuos y empresas también son tácticas comunes.

En lugar de explotar vulnerabilidades en dispositivos sin parches, los operadores de BEC buscan explotar la gran cantidad de tráfico diario de correo electrónico y otros mensajes para atraer a las víctimas y conseguir que proporcionen información financiera o incluso que envíen fondos sin saberlo a cuentas de mulas de dinero, que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.

Microsoft ha observado un aumento en la sofisticación de las tácticas delictivas especializadas en el compromiso del correo electrónico empresarial (BEC), mediante el uso de plataformas de Crime as a Service. La compañía destaca la utilización de las direcciones IP residenciales para hacer que las campañas de ataque parezcan generadas localmente. Con esta táctica, los ciberdelincuentes pueden evadir las alertas de ‘viaje imposible’ (es decir, las que marcan las restricciones físicas que indican que una tarea se está realizando en dos ubicaciones, sin la cantidad adecuada de tiempo para viajar de una ubicación a otra).

La amenaza de plataformas como BulletProftLink

Microsoft ha observado también una tendencia significativa en el uso de plataformas, como BulletProftLink por parte de los atacantes, un popular servicio para crear campañas de correo malicioso a escala industrial. BulletProftlink vende un servicio de extremo a extremo que incluye plantillas, alojamiento y servicios automatizados para realizar este tipo de ataques. Los adversarios que utilizan este sistema  de CaaS también reciben direcciones IP que les guían y orientan en su actividad maliciosa.

Los delincuentes que utilizan este CaaS reciben credenciales y la dirección IP de la víctima. A continuación, compran direcciones IP de servicios de IP residenciales que coinciden con la ubicación de la víctima, creando proxies de IP residenciales que les permiten enmascarar su origen. De este modo, los atacantes BEC pueden ocultar sus movimientos, eludir etiquetas de ‘viaje imposible’ y abrir una puerta de entrada para realizar más ataques.

Microsoft comparte la preocupación de las fuerzas del orden y otras organizaciones de que esta tendencia se puede escalar rápidamente, lo que dificulta la detección de actividad a través de alarmas o notificaciones tradicionales.

Simeón Kakpovi, analista sénior de inteligencia de amenazas de Microsoft Threat Intelligence, señala que “la ingeniería social no siempre es tan simple como parece. Hemos visto a ciberdelincuentes aprovechar la información personal compartida en las redes sociales para atraer a las víctimas durante las campañas de ingeniería social.»

Kakpovi, que lidera el equipo de analistas de Microsoft que rastrea a más de 30 grupos iraníes, considera que los “observar cómo actúan los actores vinculados a Irán nos hace darnos cuenta de que para que este tipo de ataques tengan éxito, no es necesario usar exploits de software de día cero o técnicas ofensivas novedosas. Solo requiere de acciones como comprometer el correo electrónico, phishing de credenciales, ingeniería social y tener determinación.»

Los ataques BEC son un gran ejemplo de por qué la ciberseguridad y el riesgo que conlleva debe abordarse de manera multifuncional entre los responsables de TI, compliance y ciberseguridad, junto a los máximos directivos de la compañía y directores de finanzas, recursos humanos y otros con acceso a registros de empleados, como números de seguridad social, declaraciones de impuestos, información de contacto y horarios.

Mecanismos de protección frente a los ataques BEC

Ante el aumento y sofisticación de este tipo de ataques, Microsoft ha realizado una serie de recomendaciones para ayudar a las compañías a combatirlo:

  • Maximizar la configuración de seguridad y utilizar una solución de correo electrónico segura, protegiendo la bandeja de entrada; configurar una autenticación multifactor, que requiere un código, PIN o huella digital para iniciar sesión, así como una contraseña. Las plataformas en la nube actuales de correo electrónico utilizan capacidades de inteligencia artificial, como el machine learning para mejorar la seguridad y defenderse ante este tipo de ataques. Incluyen protección avanzada contra phishing y detección de reenvío sospechoso. Las aplicaciones cloud de correo electrónico y la productividad también ofrecen actualizaciones de software continuas y automáticas y una gestión centralizada de las políticas de seguridad.
  • Identidades seguras para prohibir el movimiento lateral: La protección de identidades es un pilar clave para combatir los ataques que comprometen el correo electrónico corporativo (BEC). Microsoft insta a controlar el acceso a aplicaciones y datos con Zero Trust y la automatización del gobierno de las identidades.

Más información sobre el Informe de Cyber Signal de Microsoft, aquí y en el post de Vasu Jakkal, Microsoft Corporate Vice President, Security, Compliance, Identity, and Management.

Tags: , , ,

Posts relacionados

El 35% de los directivos españoles opina que la IA impulsará la productividad de sus organizaciones

Microsoft ha lanzado su nuevo Índice de Tendencias Laborales que recoge datos de una encuesta realizada a 31.000 personas en 31 países diferentes y analiza billones de señales de productividad de Microsoft 365, junto con las tendencias del mercado laboral del LinkedIn Economic Graph. El informe se centra en cómo la llegada de la Inteligencia Artificial generativa al puesto de trabajo ha supuesto un hito que va a cambiar radicalmente la manera de trabajar. También ha presentado las últimas funcionalidades de Microsoft 365 Copilot.

Llega la próxima oleada de innovación en IA con Microsoft Bing y Edge

Microsoft presenta la próxima oleada de innovación en IA con Microsoft Bing y Edge. Después de tres meses desde la presentación de los nuevos Bing y Edge, la compañía continua innovando para ofrecer mejores resultados de búsqueda, respuestas a tus preguntas, la posibilidad de crear y componer, y todo ello con una mayor facilidad de uso al poder chatear a través de un lenguaje natural.