Microsoft ha lanzado la cuarta edición de su informe trimestral sobre amenazas, Cyber Signals, que destaca un aumento en la actividad cibercriminal en torno al compromiso del correo electrónico empresarial (BEC). En concreto, Microsoft ha observado un aumento del 38% en el cibercrimen como servicio (CaaS) dirigido al correo electrónico empresarial entre 2019 y 2022.
Los ataques BEC con éxito cuestan a las organizaciones cientos de millones de dólares al año y se distinguen en la industria del cibercrimen por su énfasis en la ingeniería social y el arte del engaño. Entre abril de 2022 y abril de 2023, La Unidad de Delitos Digitales (DCU) de Microsoft Threat Intelligence detectó e investigó 35 millones de intentos BEC, lo que supone una media de 156.000 intentos diarios de este tipo de ataques. La compañía realizó 417.678 eliminaciones únicas de URL de phishing entre mayo de 2022 y abril de 2023 y ha detectado, además, nuevas tácticas con las que este tipo de ataques podrían realizarse a escala industrial
Índice de temas
Tácticas comunes de los ataques BEC
Los intentos de ataques BEC pueden realizarse de muchas formas, incluso a través de llamadas telefónicas, mensajes de texto, correos electrónicos o redes sociales. La suplantación de mensajes de solicitud de autenticación y la suplantación de identidad de individuos y empresas también son tácticas comunes.
En lugar de explotar vulnerabilidades en dispositivos sin parches, los operadores de BEC buscan explotar la gran cantidad de tráfico diario de correo electrónico y otros mensajes para atraer a las víctimas y conseguir que proporcionen información financiera o incluso que envíen fondos sin saberlo a cuentas de mulas de dinero, que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.
Microsoft ha observado un aumento en la sofisticación de las tácticas delictivas especializadas en el compromiso del correo electrónico empresarial (BEC), mediante el uso de plataformas de Crime as a Service. La compañía destaca la utilización de las direcciones IP residenciales para hacer que las campañas de ataque parezcan generadas localmente. Con esta táctica, los ciberdelincuentes pueden evadir las alertas de ‘viaje imposible’ (es decir, las que marcan las restricciones físicas que indican que una tarea se está realizando en dos ubicaciones, sin la cantidad adecuada de tiempo para viajar de una ubicación a otra).
La amenaza de plataformas como BulletProftLink
Microsoft ha observado también una tendencia significativa en el uso de plataformas, como BulletProftLink por parte de los atacantes, un popular servicio para crear campañas de correo malicioso a escala industrial. BulletProftlink vende un servicio de extremo a extremo que incluye plantillas, alojamiento y servicios automatizados para realizar este tipo de ataques. Los adversarios que utilizan este sistema de CaaS también reciben direcciones IP que les guían y orientan en su actividad maliciosa.
Los delincuentes que utilizan este CaaS reciben credenciales y la dirección IP de la víctima. A continuación, compran direcciones IP de servicios de IP residenciales que coinciden con la ubicación de la víctima, creando proxies de IP residenciales que les permiten enmascarar su origen. De este modo, los atacantes BEC pueden ocultar sus movimientos, eludir etiquetas de ‘viaje imposible’ y abrir una puerta de entrada para realizar más ataques.
Microsoft comparte la preocupación de las fuerzas del orden y otras organizaciones de que esta tendencia se puede escalar rápidamente, lo que dificulta la detección de actividad a través de alarmas o notificaciones tradicionales.
Simeón Kakpovi, analista sénior de inteligencia de amenazas de Microsoft Threat Intelligence, señala que “la ingeniería social no siempre es tan simple como parece. Hemos visto a ciberdelincuentes aprovechar la información personal compartida en las redes sociales para atraer a las víctimas durante las campañas de ingeniería social.”
Kakpovi, que lidera el equipo de analistas de Microsoft que rastrea a más de 30 grupos iraníes, considera que los “observar cómo actúan los actores vinculados a Irán nos hace darnos cuenta de que para que este tipo de ataques tengan éxito, no es necesario usar exploits de software de día cero o técnicas ofensivas novedosas. Solo requiere de acciones como comprometer el correo electrónico, phishing de credenciales, ingeniería social y tener determinación.”
Los ataques BEC son un gran ejemplo de por qué la ciberseguridad y el riesgo que conlleva debe abordarse de manera multifuncional entre los responsables de TI, compliance y ciberseguridad, junto a los máximos directivos de la compañía y directores de finanzas, recursos humanos y otros con acceso a registros de empleados, como números de seguridad social, declaraciones de impuestos, información de contacto y horarios.