Las amenazas a la seguridad IT corporativa que hacen uso del correo electrónico como vector de ataque varían mucho en cuanto a la complejidad, el volumen y el impacto que ejercen sobre las empresas y sus empleados. Tengamos en cuenta que un ciberataque puede afectar a su empresa de muchas maneras, dependiendo de su naturaleza, alcance y gravedad.
Según el Internet Crime Complaint Center (IC3) del FBI, la ciberdelincuencia supuso 3.500 millones de USD de pérdidas solo en 2019, con el fraude del correo electrónico empresarial (BEC) como el causante de la mayor cantidad de daños, sin incluir las pérdidas no notificadas, que son significativas. El IC3 recibió 467 361 quejas el año pasado, más de 1.300 al día, siendo la suplantación de identidad responsable del 93 % de las infracciones de correo electrónico. También puede haber varios costes indirectos e intangibles de los ataques, como tasas legales, sanciones reglamentarias, interrupciones operativas, una reputación de marca dañada y otras consecuencias graves.
Y las perspectivas de cara al futuro no son mucho más halagüeñas. Según Gartner, «hasta 2023, los ataques de BEC seguirán duplicándose cada año hasta superar los 5000 millones de USD y provocarán grandes pérdidas financieras a las empresas».
En el entorno actual, que evoluciona rápidamente, las soluciones tradicionales de seguridad del correo electrónico ya no bastan para proteger a las empresas. También debe defenderse de forma eficaz frente a las amenazas de correo electrónico sofisticadas que a menudo pueden burlar las defensas mediante el uso de técnicas de puerta trasera, incluidas la suplantación de identidad, la ingeniería social y el fraude, para infiltrarse en las redes y causar estragos.
Si bien las defensas basadas en pasarelas de correo electrónico ofrecen una base sólida, el uso de una estrategia de protección multicapa reduce de manera radical la posibilidad de que se produzcan ataques de correo electrónico y ayuda a defender mejor su negocio, datos y empleados.
Hay varias categorías diferentes de amenazas de correo electrónico:
• Correo no deseado: se trata de un gran volumen de mensajes no solicitados, generalmente, de carácter comercial, que se envían sin tener en cuenta la identidad del destinatario.
• Malware: este es un software diseñado específicamente para ocasionar daños a los activos técnicos, interrumpir las operaciones, extraer datos u obtener acceso a un sistema remoto. El malware se suele distribuir mediante archivos adjuntos de correo electrónico o URL que llevan a contenido malicioso.
• Extracción de datos: estos tipos de ataques ocurren cuando los datos se copian o recuperan de un sistema remoto sin el consentimiento del propietario. Puede suceder de forma maliciosa o accidental.
• Suplantación de identidad: estos correos electrónicos tratan de engañar a un usuario final para que crea que el mensaje procede de una persona u organización de confianza y, de esta manera, realice acciones como revelar credenciales, transferir dinero o iniciar sesión en una cuenta legítima en nombre de un atacante.
• Falsificación: esta categoría incluye cualquier ataque en el que el autor malicioso finja ser una persona, organización o servicio. Es un amplio superconjunto de ataques que normalmente van de la mano de la suplantación de identidad.
Hay un total de 13 tipos de amenazas de correo electrónico en estas categorías. Algunos de estos ataques se utilizan conjuntamente con otros; los piratas informáticos a menudo combinan varias técnicas. Por ejemplo, muchos mensajes de correo no deseado incluyen URL de suplantación y no es raro ver que una cuenta comprometida se utilice en fraudes electrónicos internos o laterales. Comprender la naturaleza y las características de estos ataques ayuda a crear la mejor protección para su empresa, datos y empleados.
De manera gráfica podríamos ordenar estas 13 amenazas de la siguiente manera en consideración a su grado de complejidad. Evidentemente, cuando los ataques de correo electrónico son más complejos, resultan más difíciles de combatir. Mencionar también que el grado de complejidad del ataque suele implicar también un mayor componente de ingeniería social en el mismo.
Este componente de ingeniería social hace que el ataque sea mucho más dirigido, sigiloso y, por tanto, más complicado de detectar para herramientas que, como las pasarelas de seguridad tradicionales, se centran en detectar ataques a gran escala con un alto grado de automatización (como por ejemplo spam o distribución de malware).
Por tanto podríamos decir que las pasarelas de seguridad tradicionales cumplen satisfactoriamente a la hora de protegernos frente a los ataques que podemos ver en la parte izquierda del gráfico. Estos ataques son los más conocidos por el gran público (spam, ransomware, phishing…) por lo que no entraremos a comentarlos en detalle. Además, realmente a día de hoy lo que supone una gran amenaza son los ataques más sofisticados que podemos ver en la parte derecha del gráfico. Es en esta parte dónde encontramos los ataques a los que se refieren el FBI y Gartner en los datos mencionados anteriormente. Veremos a continuación algunos de ellos en detalle.
1. Chantaje
Las estafas de chantaje, incluida la extorsión sexual, son cada vez más frecuentes, su nivel de sofisticación es cada vez mayor y burlan las puertas de enlace del correo electrónico.
En los ataques de extorsión sexual, los ciberdelincuentes se aprovechan de las contraseñas y los nombres de usuario robados en filtraciones de datos y utilizan la información para contactar con las víctimas e intentar engañarlas para que les den dinero. Los estafadores afirman que tienen un vídeo comprometedor supuestamente grabado en el ordenador de la víctima y amenazan con compartirlo con todos sus contactos a menos que paguen lo que les piden.
El chantaje también se conoce como extorsión y extorsión sexual
Impacto del chantaje
El chantaje representa alrededor del 7 % de los ataques de suplantación de identidad personalizada, el mismo porcentaje que el fraude del correo electrónico empresarial. Los empleados tienen la misma probabilidad de caer en una estafa de chantaje que en un ataque de fraude de correo electrónico empresarial.
Según el FBI, el coste de los ataques de extorsión, entre ellos el chantaje, fue de más de 107 millones de USD en 2019. De media, los atacantes piden unos cientos o miles de dólares, una cantidad que una persona probablemente podría pagar. Sin embargo, debido a la gran cantidad de ataques que se llevan a cabo, estos pagos pequeños suman una cantidad sustancial para los atacantes.
Las estafas de chantaje tienen un nivel bajo de denuncias por la naturaleza intencionalmente embarazosa y sensible de las amenazas. A menudo, los equipos de TI no se enteran de
estos ataques porque los empleados no denuncian los correos electrónicos, independientemente de si pagan el rescate o no.
El aumento de la defensa del correo electrónico contra el chantaje
Puesto que la defensa de la bandeja de entrada puede acceder a correos electrónicos históricos a través de las API, crea un modelo estadístico de patrones de comunicación, incluido el tono de voz que utilizan las personas. Esto le permite reconocer el tono
inusual y amenazante de los ataques de chantaje, junto con otras señales, para marcarlo como un correo electrónico malicioso. Aunque las puertas de enlace pueden supervisar algunas señales de chantaje, como el uso de ciertas palabras clave, la falta de visibilidad de los datos históricos del correo electrónico y la incapacidad de reconocer un tono de voz
extraño, les impide proteger a las organizaciones de los ataques de chantaje.
2. Fraude del correo electrónico empresarial
En los ataques de fraude del correo electrónico empresarial, los estafadores se hacen pasar por un empleado de la organización para defraudar a la empresa, sus empleados, clientes o socios. En la mayoría de los casos, los atacantes centran sus esfuerzos en los empleados que tienen acceso a los datos financieros o personales de la empresa, engañando a las personas para que realicen transferencias bancarias o revelen información confidencial. Estos ataques utilizan tácticas de ingeniería social y cuentas comprometidas, y no suelen incluir archivos adjuntos ni enlaces.
El fraude del correo electrónico empresarial también se conoce como fraude del CEO, fraude del CFO, suplantación de identidad de empleados, ataque contra altos cargos de la empresa, ingeniería social y fraude por transferencia bancaria
Impacto del fraude del correo electrónico empresarial
Aunque el fraude del correo electrónico empresarial representa solo el 7 % de los ataques de suplantación de identidad personalizada, ha provocado más de 1700 millones de USD de pérdidas solo en 2019, según el FBI. Las cuentas de Gmail se utilizan para lanzar el 47 % de los ataques de fraude del correo electrónico empresarial.
Las estafas de nóminas son una forma popular de ataque de fraude del correo electrónico empresarial. Estas estafas van dirigidas a los departamentos de Recursos Humanos y Nóminas con el objetivo de transferir el sueldo de un empleado a una cuenta diferente y fraudulenta. Los piratas informáticos se hacen pasar por empleados al proporcionar nuevos detalles de la cuenta para el depósito del pago. Las estafas de nóminas representan el 8 % de los ataques de fraude del correo electrónico empresarial, pero van en aumento tras haber llegado a crecer más de un 800 % recientemente.
La defensa del correo electrónico frente al fraude del correo electrónico empresarial
La defensa de la bandeja de entrada basada en API utiliza datos de correo electrónico históricos para crear un modelo estadístico o un gráfico de identidad y así comprender quiénes tienen mayor probabilidad de comunicarse entre sí y qué nombres e identidades utilizan. También analiza las solicitudes habituales entre empleados dentro de la organización mediante el análisis de sentimiento. Cuando se realiza una solicitud inusual, la defensa de la bandeja de entrada basada en API identifica un intento de suplantación basado en el historial de comunicaciones, en lugar de las reglas y políticas con las que cuentan las puertas de enlace del correo electrónico tradicionales.
Las puertas de enlace del correo electrónico no tienen visibilidad de las relaciones y los patrones de comunicación que hay entre las personas según los datos históricos. Las puertas de enlace confían en políticas detalladas personalizadas y DMARC para protegerse frente a la suplantación y la falsificación. Estas técnicas no son suficientes para protegerse contra el fraude del correo electrónico empresarial, y su dependencia excesiva en políticas predeterminadas genera un gran número de falsos positivos o negativos. La defensa de la bandeja de entrada basada en API es un método de protección más eficaz frente a los ataques de fraude del correo electrónico empresarial.
«Las soluciones más avanzadas analizan patrones de comunicación y detectan posibles suplantaciones basadas en estos últimos», Gartner (2020)
3. Secuestro de conversaciones
Con el secuestro de conversaciones, los ciberdelincuentes se meten en conversaciones empresariales existentes o empiezan nuevas conversaciones basadas en la información que han recopilado de cuentas de correo electrónico comprometidas para robar dinero o información personal.
El secuestro de conversaciones puede formar parte de un ataque de usurpación de cuentas. Los atacantes dedican tiempo a leer correos electrónicos e inspeccionar la cuenta comprometida para comprender las operaciones empresariales y conocer los acuerdos que se están llevando a cabo, los procedimientos de pago y otros detalles.
Sin embargo, los ciberdelincuentes rara vez utilizan las cuentas comprometidas para enviar un ataque de secuestro de conversaciones. En su lugar, usan la suplantación de dominios de correo electrónico. Este es un correo electrónico que muestra cómo los ciberdelincuentes tratan de hacerse pasar por un dominio de correo electrónico interno en un intento de ataque de secuestro de conversaciones.
Impacto del secuestro de conversaciones
En los últimos meses, se ha producido un fuerte aumento de más del 400 % en ataques de suplantación de dominios utilizados para facilitar el secuestro de conversaciones. Si bien el volumen de secuestro de conversaciones en los ataques de suplantación de dominios es extremadamente bajo en comparación con otros tipos de ataques de suplantación de identidad, estos ataques sofisticados son muy personalizados, lo que hace que resulten
eficaces, difíciles de detectar y costosos. En un caso bien conocido, Barbara Corcoran del programa de telerrealidad “Shark Tank” (Negociando con tiburones) perdió casi 400 000 USD debido a una estafa de suplantación de identidad. Los estafadores engañaron a su contable mediante la suplantación de dominios de correo electrónico al enviar una factura que parecía ser de su asistente.
Pero el asistente de Corcoran nunca envió dicha factura; la factura falsa procedía de un correo electrónico que se parecía mucho a su dirección. Cuando el equipo de Corcoran se dio cuenta de que algo iba mal, el dinero ya se había transferido a los estafadores.
El aumento de la defensa del correo electrónico contra el secuestro de conversaciones
La defensa de la bandeja de entrada accede a las comunicaciones por correo electrónico históricas a través de la integración de las API, utilizando esos datos en el aprendizaje automático para comprender quién puede comunicarse con determinada persona, incluidos los contactos externos habituales y las interacciones con ellos.
Cuando se secuestra una conversación por correo electrónico y un ciberdelincuente se hace pasar por un socio de confianza, la defensa de la bandeja de entrada bloquea el ataque. Las puertas de enlace no pueden visualizar nada de eso. Aunque se pueden crear políticas y listas blancas, este enfoque es difícil de ampliar y puede dar lugar a falsos positivos. Cuando se secuestra una conversación, la puerta de enlace envía el correo electrónico, por lo que no puede proteger contra este tipo de ataque.
4. Suplantación de identidad lateral
Con la suplantación de identidad lateral, los atacantes usan cuentas secuestradas recientemente para enviar correos electrónicos de suplantación de identidad a destinatarios desprevenidos, como contactos cercanos de la empresa y socios de organizaciones externas, para propagar el ataque de manera más amplia.
Debido a que estos ataques provienen de una cuenta de correo electrónico legítima y parecen ser de un compañero o socio de confianza, tienden a tener una alta índice de éxito.
Impacto de la suplantación de identidad lateral
En un estudio reciente, los investigadores descubrieron que 1 de cada 7 organizaciones ha sufrido un ataque de suplantación de identidad lateral. Estos ataques, que van dirigidos a una gran variedad de víctimas y organizaciones, pueden ser extremadamente perjudiciales para la reputación de marca de una empresa, especialmente si dan lugar a más ataques generalizados en otras organizaciones.
Más del 55 % de estos ataques se dirigen a destinatarios que tienen alguna conexión laboral o personal con la cuenta secuestrada. Como es de esperar, alrededor del 11 % de estos ataques logran manejar con éxito cuentas adicionales, lo que produce aún más ataques de suplantación de identidad laterales.
El aumento de la defensa del correo electrónico contra la suplantación de identidad lateral
En la mayoría de los casos, la suplantación de identidad lateral es un ataque interno. Las puertas de enlace del correo electrónico no tienen visibilidad de estas comunicaciones y no pueden detener los ataques internos porque nunca pasan por ellas.
Tampoco pueden remediar los ataques que se producen tras la entrega. Una vez que se envía el correo electrónico a la bandeja de entrada, este permanece ahí. Las API para la defensa de la bandeja de entrada, por lo contrario, sí que proporcionan visibilidad de las comunicaciones internas. Pueden detectar amenazas internas, como la suplantación de identidad lateral, y remediarlas tras la entrega.
5. Usurpación de cuentas
La usurpación de cuentas es una forma de fraude y robo de identidad, donde un tercero malintencionado consigue acceder a las credenciales de la cuenta de un usuario. Los ciberdelincuentes utilizan la falsificación de marcas, la ingeniería social y la suplantación de identidad para robar credenciales de inicio de sesión y acceder a cuentas de correo electrónico.
Una vez que la cuenta está en peligro, los piratas informáticos inspeccionan y rastrean la actividad para conocer cómo la empresa hace negocios, las firmas de correo electrónico que usan y la forma en que se manejan las transacciones financieras. Esto les ayuda a lanzar ataques exitosos, incluida la recopilación de credenciales de inicio de sesión adicionales para otras cuentas. La usurpación de cuentas también se conoce como fraude de cuentas.
Impacto de la usurpación de cuentas
Un análisis reciente sobre ataques de usurpación de cuentas reveló que las cuentas de Microsoft Office 365 del 29 % de las organizaciones corrían peligro por parte de piratas informáticos en un mes. En ese período de 30 días, se enviaron más de 1,5 millones de correos no deseados y maliciosos desde las cuentas de Office 365 pirateadas.
La defensa del correo electrónico frente a la usurpación de cuentas
Las puertas de enlace se colocan en el perímetro, fuera de una organización, por lo que se desconectan de los usuarios y las bandejas de entrada de correo electrónico. Carecen de la capacidad de supervisar comportamientos sospechosos, como inicios de sesión de ubicaciones inusuales o mensajes reenviados de forma interna.
La defensa de bandeja de entrada basada en API se conecta directamente con las bandejas de entrada de los usuarios y supervisa que no haya cambios sospechosos en las reglas de la bandeja de entrada, una actividad de inicio de sesión inusual ni mensajes maliciosos enviados desde cuentas que ya están en peligro. Este tipo de defensa detecta la usurpación de la cuenta antes de que se utilice para realizar fraudes y remedia un ataque bloqueando a los usuarios maliciosos de la cuenta comprometida.
Conclusiones
La seguridad del correo electrónico corporativo es un aspecto crucial para el mantenimiento de la operativa empresarial y de la propia supervivencia de las empresas. Las medidas de seguridad tradicionales basadas en una pasarela de correo segura son necesarias pero no suficientes para garantizar un nivel adecuado de protección.
Cada día es más necesario y urgente contar con barreras de protección adicionales mediante APIs a nivel de las bandejas de entrada de los usuarios. Estas barreras deben ir más allá de los filtros de contenidos habituales desplegando sistemas avanzados de inteligencia artificial que permitan hacer frente a unos ataques cada vez más sofisticados y con un mayor componente de ingeniería social.
La defensa de la bandeja de entrada se basa en API para integrarse directamente con el entorno de su correo electrónico, incluidas las bandejas de entrada individuales. El uso de la
integración de las API proporciona visibilidad en la comunicación por correo electrónico histórica e interna de cada individuo en la organización. Luego utiliza estos datos de comunicación e inteligencia artificial (IA) para crear un gráfico de identidad de cada usuario que refleje sus patrones de comunicación.
El gráfico de identidad se crea con varios clasificadores que determinan el aspecto normal de las comunicaciones por correo electrónico de cada empleado. Por ejemplo, comprende (según datos históricos) desde qué ubicaciones es probable que inicie sesión cada empleado, sus direcciones de correo electrónico habituales, las personas con las que se comunica, el tipo de solicitudes que realiza y otro centenar de señales. Cuando sucede algo extraño que no se ajusta al gráfico de identidad de una persona, la inteligencia artificial que hay dentro de la defensa de su bandeja de entrada lo marca como algo potencialmente malicioso y lo elimina de la bandeja de entrada del usuario antes de que pueda interactuar con el mensaje.
Si bien puede hacer que las puertas de enlace del correo electrónico tengan un comportamiento similar, esa solución no es ampliable. Muchas de las puertas de enlace del correo electrónico actuales permiten la personalización detallada y la configuración de políticas para bloquear ataques dirigidos.
Cada clasificador puede convertirse en una regla o política de la puerta de enlace, pero el hecho de tener que configurar cientos de políticas para miles de empleados hace que la solución no sea ampliable. No se adapta al cambio y tiende a presentar una gran cantidad de falsos positivos y negativos. Las organizaciones que dependen de puertas de enlace personalizadas para proteger a sus usuarios de los ataques de suplantación de identidad personalizada solo pueden defender a un número limitado de empleados que se hayan identificado como de alto riesgo. Inevitablemente, los ataques de suplantación de identidad personalizada burlarán sus puertas de enlace y llegarán a las bandejas de entrada de los usuarios.
