El correo electrónico es una herramienta increíble para las empresas, pero también lo es para los ciberdelincuentes, ya que sigue siendo el vector de ataque más utilizado por los hackers para acceder a una organización. Y no es difícil entender por qué.

A la hora de planificar un ataque, la pregunta decisiva para un hacker es: “¿Será más fácil manipular a un humano o a una máquina?”. La respuesta es tan clara que es como preguntar a alguien si prefiere talar un árbol con una lima de uñas o con una motosierra.

A diferencia de las máquinas, las emociones de las personas pueden manipularse fácilmente, y un hacker puede convencerles de que algo es legítimo sin mucho esfuerzo. Por el contrario, atacar una máquina lleva mucho tiempo, y un ciberdelincuente necesita tener las habilidades adecuadas y conocimientos del sector para encontrar y explotar las vulnerabilidades de la red o del software. Si hay una forma fácil de lograr un objetivo, ¿por qué alguien, especialmente un delincuente, iba a optar por la más difícil?

La prevalencia de los ataques de phishing

Aunque las estadísticas son suficientes para hacer que cualquier organización reconsidere su uso del correo electrónico, las empresas no pueden permitirse renunciar a él por muy generalizados que estén los ataques.

• Desde marzo de 2020, más del 80% de las empresas de todo el mundo han presenciado un aumento de los ataques de phishing por correo electrónico, según un reciente estudio de Ironscales.
• Según un informe de APWG, el segundo trimestre de 2022 fue el peor en lo que respecta a los ataques de phishing, con 1.270.883 casos observados.
• IBM señaló que el ataque al correo electrónico empresarial (BEC), un tipo de ataque de phishing, es el más costoso de los relacionados con las brechas de datos, con un coste medio de 5,01 millones de dólares por brecha. Los ataques generales de phishing ocupan el segundo lugar, con un coste medio para las organizaciones de 4,65 millones de dólares.

Phishing: Hombre vs. máquina

Los ataques de phishing actuales son increíblemente eficaces porque los hackers han perfeccionado la forma de engañar a los humanos y aprovecharse de sus emociones. El primer golpe de estos ataques combinados comienza suplantando la identidad de una marca de confianza como Microsoft, Amazon o Zoom, lo que genera en los destinatarios una falsa sensación de seguridad.

El segundo golpe procede de aquellas palabras clave que suscitan miedo, curiosidad o urgencia, como “atención”, “importante”, “alerta de seguridad” o “hay que actuar”. Ya sea por descuido o por pánico, los destinatarios se apresuran a actuar, haciendo clic en enlaces, descargando archivos adjuntos o compartiendo datos confidenciales.

Como las máquinas no sienten, no hay forma de utilizar la misma estafa cargada de emociones con ellas. Para vulnerar una máquina, los hackers deben tener conocimientos de programación o conocer bien los protocolos de red, los sistemas operativos o las herramientas de seguridad.

Los humanos y los sistemas de correo electrónico seguirán siendo objetivos fáciles a menos que las organizaciones tomen las medidas adecuadas y necesarias.

Principios básicos de prevención: cómo proteger el correo electrónico

Además de concienciar y educar a los empleados sobre las mejores prácticas, las organizaciones pueden aplicar una serie de políticas sencillas que proporcionan una capa básica de seguridad. Algunas opciones habituales son:

Autenticación multifactor (MFA): La MFA dificulta el acceso de los hackers a las cuentas de correo electrónico. Aunque consigan una contraseña de usuario, no podrán acceder a la cuenta sin la segunda autenticación.

Políticas de renovación de contraseñas: Estas políticas exigen que los empleados cambien las contraseñas con regularidad, por ejemplo, cada 90 días. Sin estas políticas, los ciberdelincuentes pueden tener acceso durante mucho tiempo a las cuentas de correo electrónico sin ser detectados.

Contraseñas complejas: Las reglas de complejidad de las contraseñas dificultan su averiguación. Estas reglas pueden incluir longitudes mínimas, combinaciones de mayúsculas y minúsculas, números y símbolos, exclusión de palabras comunes y eliminación de la reutilización de contraseñas.

Soluciones avanzadas de seguridad del correo electrónico

Una vez implantadas las soluciones esenciales, es hora de ponerse en serio con la protección. Dado lo que está en juego, no deben ignorarse las soluciones más proactivas. Como parte de una amplia estrategia de seguridad, las organizaciones deben considerar lo siguiente:

Análisis del comportamiento de usuarios y entidades (UEBA): Las soluciones UEBA utilizan algoritmos de aprendizaje automático para recopilar y analizar datos de diversas fuentes, como archivos de registro y tráfico de red, creando una línea de base de comportamientos típicos para cada empleado. Las líneas de base establecidas pueden utilizarse después para detectar comportamientos incoherentes, los cuales pueden indicar una amenaza.

Por ejemplo, UEBA puede detectar inicios de sesión de usuarios desde ubicaciones inusuales o intentos de acceder a archivos confidenciales fuera del horario laboral habitual. También puede identificar actividades sospechosas en el correo electrónico, como el envío de gran cantidad de mensajes a destinatarios externos o la apertura de archivos adjuntos sospechosos.

Análisis de los datos de auditoría: La mayoría de los servicios de correo electrónico como Outlook y Gmail proporcionan datos de auditoría, incluida la información de inicio de sesión, el país, el sistema operativo y la información sobre el navegador web. Los equipos pueden supervisar y analizar los datos para detectar anomalías en el inicio de sesión.

Las empresas deben prestar atención a los intentos de inicio de sesión desde países, navegadores o sistemas operativos desconocidos, ya que pueden indicar que una cuenta ha sido vulnerada. A partir de ahí, los equipos de seguridad pueden investigar más a fondo, bloquear el acceso, restablecer las contraseñas o mitigar cualquier amenaza.

SIEM y SOC de terceros: Alcanzar el nivel más alto de seguridad y protección del correo electrónico requiere el uso de un SIEM para recopilar, agregar y correlacionar datos, incluidos los datos de inicio de sesión, creando una imagen más clara de lo que podrían significar las anomalías y activando alertas de actividad sospechosa.

Después, un SOC como CYREBRO, que puede complementar a los equipos de seguridad de las PYMES, puede investigar los datos y las alertas que proporciona el SIEM y conectar diferentes fragmentos de información y datos mediante correlaciones y agregaciones, reduciendo en última instancia el número de investigaciones y alertas. A su vez, esto permite realizar una investigación más exhaustiva que puede utilizarse para construir una historia de ataque, identificar los orígenes de la amenaza y mitigarla adecuadamente.

Centralización de la seguridad: un caso de CYREBRO

A principios de 2022, un empleado de una empresa que utiliza la plataforma SOC de CYREBRO recibió un correo electrónico que le pareció sospechoso y, utilizando la solución de suplantación de identidad de CYREBRO, lo denunció para que se investigara más a fondo. A través de la plataforma, CYREBRO investigó el correo electrónico, su contenido y sus atributos para identificar los IOC. Como CYREBRO estaba conectado a los sistemas de notificación de la organización, incluyendo Office365, Dcoya y su solución EDR, pudo crear una historia de ataque completa e investigar a fondo el caso.

Tras analizar el correo electrónico, los analistas de CYREBRO vieron que se había instalado malware en el equipo desde un enlace del correo electrónico de phishing y que se había utilizado el sistema EDR del cliente para recopilar registros adicionales que revelaban cómo funcionaba el malware en la organización del cliente. Si el EDR no hubiera estado conectado, CYREBRO no habría podido acceder a los registros del EDR y habría tenido más dificultades para identificar el archivo que se descargó en esa máquina y los otros equipos infectados, lo que habría prolongado la investigación.

Conclusión

Los empleados siempre serán una vulnerabilidad. El correo electrónico, tal como está planteado, seguirá siendo uno de los vectores de ataque más  comunes. La combinación de estos hechos inseparables subraya la importancia de la seguridad en el correo electrónico.

Las amenazas acechan constantemente justo al otro lado de la puerta de entrada virtual de cualquier empresa; sólo es cuestión de tiempo para que una encuentre la forma de entrar. Por eso es crucial (y casi innegociable) que todas las empresas cuenten con soluciones de vigilancia y detección capaces de identificar las amenazas antes de que se produzcan daños costosos e irreparables.