El correo electrónico sigue siendo una de las principales puertas de acceso de los ciberataques hoy en día. Esto hace imprescindible que las organizaciones adopten una estrategia en la que tengan en cuenta la diversidad de riesgos que amenazan los correos para saber cómo hacerles frente.
En no pocas ocasiones ha quedado en evidencia que muchas organizaciones aún siguen pasando por alto la protección de los servidores de correo electrónico. Sin embargo, la cantidad de amenazas que diariamente entran en las organizaciones a través de los emails constatan la necesidad de reforzar su seguridad dentro de una estrategia de confianza cero.
En los últimos meses ha habido una serie de amenazas clave para la seguridad del correo electrónico que son motivo de preocupación. Tenerlas en cuenta será fundamental a la hora de desarrollar la estrategia de seguridad de este año.
El error humano
Estadísticamente, el correo electrónico es donde las personas pasan la mayor parte de su tiempo dentro de la red, y las personas son el eslabón más débil. Según el informe de Verizon de 2022 sobre brechas de datos, el 82% de las infracciones involucran el elemento humano.
A esto se le suman factores como los que señala Adobe en una reciente encuesta en la que se apunta que el 60% de las personas ven la televisión mientras revisan su correo electrónico personal. Esto, unido al auge del trabajo remoto y la difuminación de la línea que separa los dispositivos corporativos de los personales, lleva a que muchas veces, esa revisión del correo no se haga de forma segura.
Los errores se pueden apostando por la capacitación a los empleados sobre qué buscar cuando revisan los correos electrónicos y qué señales de alerta indican que estamos ante una campaña de phishing. Si bien los errores son a veces inevitables, se pueden reducir con una mayor conciencia de la seguridad y las soluciones técnicas adecuadas.
Archivos adjuntos maliciosos
Los ciberdelincuentes han descubierto que los archivos adjuntos de correo electrónico pueden ser un buen vehículo para distribuir rápidamente gran cantidad de código malicioso. Estos suelen llevar código HTML que puede redirigir a los usuarios a sitios web falsos, cifrar archivos, filtrar datos o descargar malware.
Si bien la mayoría de los proveedores de software han deshabilitado las macros de forma predeterminada (que, de lo contrario, activarían el código malicioso al abrir el archivo), hay otras tácticas para sortear esta barrera.
Por ejemplo, completando formularios o mensajes de phishing personalizados que incitan al usuario a hacer clic y habilitar macros una vez que se ve el archivo adjunto, lo que activa el código malicioso oculto. Esto debe estar respaldado por soluciones de seguridad de punto final que pueden bloquear cualquier malware.
Correos electrónicos perdidos
Los correos electrónicos enviados al destinatario equivocado pueden conllevar un alto coste a cualquier organización. En el peor de los casos, los datos confidenciales se entregan más allá de la red a un receptor no deseado y se produce un compromiso de correo electrónico comercial.
El Informe sobre delitos en Internet del FBI de 2019 señaló que este tipo de amenaza cuesta a las organizaciones más de 25.000 millones de dólares. Y no es solo el dinero: una vez que los datos han salido de la organización, recuperarlos no es tan sencillo.
Algunas soluciones de protección del correo electrónico permiten verificar el contenido de cada correo, incluidos los archivos adjuntos, antes de enviarlo. Usando tecnología basada en Inteligencia Artificial, buscan datos confidenciales y marcan al usuario antes de que puedan enviarlos fuera de la red.
Además, las herramientas de gestión de derechos digitales (DRM) permiten que el remitente asigne permisos al destinatario del correo electrónico, cifre los correos electrónicos y revoque los derechos de acceso incluso después de que se haya enviado el archivo o el mensaje. De esta forma, los datos estarán seguros incluso si terminan en las manos equivocadas.
Suplantación de identidad por correo electrónico
Grandes empresas como Microsoft, LinkedIn o DHL encabezan la lista de las marcas más suplantadas en las campañas de phishing. Su popularidad y la confianza se tiene en ellas hace más probable que los usuarios abran correos electrónicos que simulan proceder de ellas cuando no es así.
Para evitar caer en estas estafas, hay que tener en cuenta que los correos que suplantan identidades como estas suelen contener faltas de ortografía y una URL ligeramente diferente a la real. También es importante buscar el candado que aparece en la barra de la URL y estar alerta ante anomalías antes de responder automáticamente a un correo electrónico injustificado para «actualizar su contraseña» o «confirmar una dirección de envío».
Protocolos como DMARC, DKIM y SPF combaten la suplantación de identidad y se pueden encontrar en soluciones de seguridad de correo electrónico. Cada uno agrega una capa adicional de protección, ya sea validación, autenticación o política de seguridad.
Evasión de MFA
Para combatir los intentos de phishing, muchas organizaciones implementan soluciones de múltiple factor de autenticación (MFA). Sin embargo, están evolucionando técnicas que permiten que las campañas de phishing eludan estas protecciones.
Un claro ejemplo es aprovechar la llamada ‘fatiga de MFA’ que se basa en que los ciberdelincuentes envían notificaciones repetidas de MFA para engañar al usuario y que le dé a ‘Aceptar’ sin querer después de tantos intentos solo por cansancio.
Las soluciones antivirus y la autenticación tokenizada pueden ayudar a compensar el coste de una herramienta MFA engañosa, y las soluciones de seguridad de punto final pueden detectar malware al entrar en un servidor de correo electrónico.
Las tendencias de correo electrónico malicioso siguen evolucionando y las vulnerabilidades de phishing se están volviendo cada vez más peligrosas, sutiles y sofisticadas. La confianza cero debe incluir soluciones en toda la red, el punto final y el usuario para que sea eficaz en la lucha contra estos ataques multivectoriales.
Un enfoque de defensa en profundidad ya no es la mejor práctica, sino la única si las organizaciones esperan adelantarse a las amenazas de correo electrónico que se avecinan para este 2023.
