El hecho de que la industria del cibercrimen evoluciona constantemente e incrementa la sofisticación y potencia de sus ataques cada vez más hace tiempo que ha dejado de sorprendernos. Nos enfrentamos diariamente a ataques que aumentan su peligrosidad en cada iteración. El caso del spear phishing no es una excepción como veremos seguidamente.
¿Qué entendemos por spear phishing y en qué se diferencia del phishing “tradicional”?
Podríamos definir el spear phishing de manera sencilla como el fraude, habitualmente a través de correo electrónico, dirigido a robar información crítica como credenciales de acceso o de pago del usuario. En este caso, estaríamos hablando además de ataques dirigidos con cierto componente de ingeniería social y que buscan engañar al usuario utilizando información que se ha obtenido mediante diversas fuentes (robos de bases de datos, otros ataques previos, información recolectada de redes sociales, etcétera). Este detalle, el hecho de ser ataques mucho más específicos y dirigidos que cuentan con elementos de ingeniería social, es la principal diferencia del spear phishing frente a los ataques de phishing tradicional que normalmente son mucho más masivos en número. Aunque el phishing tratan de lograr un objetivo similar (acceso a credenciales o medios de pago) lo hace mediante una estrategia mucho más sencilla (envío de un gran número de correos que, aunque tengan una tasa de éxito muy baja garanticen cierto éxito precisamente por el alto número de receptores de esos correos o ataques).
¿Tienes un problema de spear phishing? ¿Lo sabrías si lo tuviera? ¿Y cómo lidiarías con el incidente?
La cantidad de ataques de spear phishing continúa aumentando y las tácticas utilizadas por los atacantes están evolucionando para ser cada vez más específicas y evadir incluso las mejores defensas. Sin embargo, existe un nivel alarmante de ingenuidad y complacencia sobre la amenaza que representa el spear phishing para las organizaciones. Mucha gente todavía piensa en la amenaza como simplemente los correos electrónicos de Phishing fraudulentos estereotipados que son detectados por las barreras tradicionales de seguridad en el correo (anti-spam, anti-malware sandbox…) .
La realidad es muy diferente. Una investigación reciente de Barracuda analizó más de 2,3 millones de ataques de phishing dirigidos a 80.000 organizaciones en todo el mundo durante tres meses el año pasado. Dicho análisis, muestra que los ataques de spear phishing dirigidos están creciendo en volumen y complejidad, al igual que el impacto que tienen en las empresas. En particular, hay un aumento de tácticas más específicas y sutiles, como la suplantación de identidad de marca, el secuestro de conversaciones y el compromiso del correo electrónico empresarial (BEC).
BEC, donde los piratas informáticos se hacen pasar por un empleado, proveedor u otra persona de confianza, es una de las tácticas de spear phishing de más rápido crecimiento. Estos han aumentado del 7% de todos los ataques de spear phishing al 12% a fines de 2020. Por lo general, el objetivo de este tipo de ataques es generar confianza y obtener una respuesta de la víctima en lugar de simplemente hacer que haga clic en un URL maliciosa: como se ve por el hecho de que solo el 30% de los ataques BEC incluyen una URL.
Una vez dentro, el pirata informático puede usar una cuenta de correo electrónico comprometida para comunicarse legítimamente con esa organización y convencer a las personas de que tomen medidas en relación con elementos, como transferir dinero a una cuenta bancaria ilegal.
En un ejemplo real muy reciente, una cuenta de correo electrónico de una empresa había sido comprometida por un ataque de spear phishing varios meses antes. Luego, el atacante monitorizó esa cuenta de correo electrónico e interactuó sin ser detectado con los proveedores para que se pagaran las facturas en diferentes cuentas bancarias. Durante ese tiempo, el atacante había logrado acceso a más de 15 cuentas de correo electrónico diferentes dentro de la empresa a través de un movimiento lateral, donde un atacante usa una cuenta de correo electrónico comprometida para apuntar a otros usuarios internamente dentro de una organización. Estos ataques son especialmente difíciles de detectar porque provienen de cuentas de correo electrónico legítimas internas y parecen provenir de un colega de confianza.
¿Cómo responder y enfrentar la amenaza?
La pregunta más importante es cuál es la mejor manera de defenderse de esta creciente amenaza de phishing y cómo responder a los incidentes que inevitablemente eludirán las defensas y pasarán desapercibidos.
Defensa de la pasarela de correo
Es imprescindible contar con una pasarela de correo de seguridad que sea capaz de detectar los ataques al correo electrónico antes de que éstos lleguen siquiera al servidor de correo. En esta pasarela se ha de implementar las medidas de seguridad “tradicionales” como anti-spam, anti-malware o sandbox que habitualmente serán capaces de detener el grueso de los ataques de correo electrónico.
Protección en profundidad de los buzones
La protección que otorga la pasarela hoy día es necesaria pero no suficiente. Ataques como los mencionados que utilizan técnicas de compromiso del correo electrónico (BEC) pasarán habitualmente desapercibidas e indetectables para la pasarela de correo. Pensemos que cuando un atacante se hace con las credenciales de un usuario interno este usuario sirve de “cabeza de playa” para nuevos ataques internos que habitualmente ni siquiera son canalizados por la pasarela ni cuentan con adjuntos que incluyan malware o links a sitios maliciosos lo que los hace indetectables para las pasarelas tradicionales. Por ello, es necesario implementar medidas de seguridad adicionales que analicen los flujos de correo internos y los parámetros de conexión, ubicación, contexto, horario, etc de los usuarios utilizando técnicas de Inteligencia Artificial que permitan detectar comportamientos y ataques como el mencionado BEC.
Respuesta a incidentes: nos han atacado… ¿y ahora qué hacemos?
Todos hemos sido testigos en los últimos meses del número creciente de empresas que tras sufrir un ataque no tenían más remedio que cancelar sus actividades y mandar a sus usuarios a casa. Efectivamente cuando se ha sido objeto de un ataque y se desconoce el alcance del mismo y los usuarios que están infectados en tiempo real, una medida de prudencia muy recomendable es detener toda la actividad. No obstante, esto es costoso e ineficiente y existen alternativas. Si antes de que suceda el ataque nos hemos preparado para el mismo con políticas y soluciones de análisis forense y respuesta a incidentes podremos identificar en tiempo real y de manera inmediata los usuarios afectados, pudiendo así aislarlos y evitar que extiendan el ataque por la red corporativa. De esta manera podríamos contener el ataque de una forma mucho más sencilla, rápida y económica y sin los costes de imagen inherentes al hecho de paralizar toda la actividad corporativa.
Control de acceso a la red de confianza cero
El propósito de un entorno de confianza cero es limitar el alcance de qué o quién puede acceder a su entorno. Tener un control de acceso de confianza cero significa que incluso si una cuenta de correo electrónico se ve comprometida por un ataque de spear phishing, un pirata informático no puede usar esa cuenta como un trampolín hacia otras cuentas y partes de la organización. Esto significa no solo el control de acceso a su red interna, sino también a sus aplicaciones en la nube, como Microsoft Office 365, que está esencialmente abierto al mundo a menos que lo sujete con los controles adecuados.
Educación
Los empleados son una parte clave de cualquier sistema de seguridad. Es imprescindible contar con la colaboración de todos ellos, así como dotarles de la adecuada formación y preparación en materia de ciberseguridad. Es crítico que todo el personal de la empresa u organización esté al tanto de los riesgos de spear phishing (entre otros) y de que los tengan en cuenta todos los días. Para ello hay que implementar las medidas de capacitación necesarias que les permitan reconocer e informar de los ataques y comprender el impacto que pueden tener en la organización. Además, toda esta formación debe realizarse de manera continuada y contar con medidas de control que nos permitan comprobar el adecuado aprovechamiento por parte de los empleados. En este sentido, es muy recomendable contar con herramientas de aprendizaje que incluyen vídeos didácticos, simulaciones configurables de ataques e incluso estrategias de gamificación para optimizar el impacto de estas técnicas en la plantilla.