Tras desarticular una operación de "phishing como servicio" que afectó a miles de víctimas en 43 países, INTERPOL indicó: "Puede que los ciberataques como el phishing sean de carácter virtual y no conozcan fronteras, pero su impacto en las víctimas es real y devastador". Por ejemplo, los ataques al correo electrónico corporativo (BEC), un tipo de ataque sin malware que engaña a los destinatarios para que transfieran fondos, han costado a víctimas de todo el mundo más de 50 000 millones de dólares, según el FBI.
Se estima que el 90 % de los ciberataques exitosos comienzan con el phishing por correo electrónico, una táctica que sigue siendo muy lucrativa para los atacantes. Hoy en día no se puede hacer mucho para detener los intentos de phishing. Sin embargo, para evitar que los ataques puedan llevarse a cabo satisfactoriamente, es importante comprender (y abordar de forma proactiva) las últimas tendencias en materia de phishing, incluidas las formas en que los atacantes se aprovechan hábilmente de la confianza que las víctimas depositan en remitentes de correo electrónico "conocidos". Con ese fin, Cloudflare ha publicado esta semana su primer informe sobre las amenazas de phishing.
Este informe analiza las principales tendencias del phishing y las recomendaciones relacionadas, según los datos de seguridad del correo electrónico de mayo de 2022 a mayo de 2023. Durante ese tiempo, Cloudflare procesó aproximadamente 13 000 millones de correos electrónicos, cifra que incluye el bloqueo de aproximadamente 250 millones de mensajes maliciosos para evitar que llegaran a las bandejas de entrada de los clientes. El informe también se basa en una encuesta encargada por Cloudflare a 316 responsables de la toma de decisiones en materia de seguridad en Norteamérica, EMEA y APAC (puedes descargar ese estudio aquí).
Consulta el informe completo para conocer nuestras tres conclusiones clave:
Los atacantes utilizan los enlaces engañosos como su principal táctica de phishing. Descubre cómo están mejorando la manera en que intentan llevar a sus víctimas a hacer clic y el momento en que modifican los enlaces con fines hostiles.
El fraude de identidad adopta diversas formas (tales como los ataques al correo electrónico corporativo y la suplantación de marca), y puede omitir fácilmente los estándares de autenticación del correo electrónico.
Los atacantes se hacen pasar por cientos de organizaciones diferentes, pero principalmente suplantan la identidad de las entidades en las que confiamos y necesitamos para trabajar.
Estos son algunos factores que debes tener en cuenta al leer el informe sobre las amenazas de phishing en 2023.
Clasificación de las amenazas por correo electrónico
Los atacantes suelen utilizar una combinación de ingeniería social y técnicas de ofuscación técnica para que sus mensajes parezcan legítimos. Por lo tanto, Cloudflare utiliza una serie de técnicas de detección avanzadas para analizar señales "confusas" (no solo el contenido visible a simple vista) a fin de identificar correos electrónicos no deseados. Esas señales incluyen:
Análisis estructural de encabezados, cuerpo del mensaje, imágenes, enlaces, archivos adjuntos, cargas malintencionadas y mucho más, mediante heurística y modelos de aprendizaje automático diseñados específicamente para las señales de phishing.
Análisis de sentimiento para detectar cambios en patrones y comportamientos (p. ej., patrones de escritura y expresiones).
Gráficos de confianza que evalúan los gráficos sociales de los socios, el historial de envíos de correos electrónicos y las posibles suplantaciones de socios.
Nuestro servicio de seguridad del correo electrónico también incorpora información sobre amenazas procedente de la red global de Cloudflare, que bloquea una media de 140 000 millones de ciberamenazas cada día.
Estas y otras muchas señales evalúan los correos electrónicos que pueden formar parte de ataques al correo electrónico corporativo, suplantaciones o spam. Nuestro panel de control indica a los clientes las razones específicas (es decir, las "categorías" de indicadores de amenaza) de una determinada resolución de correo electrónico.
A continuación, se muestra una instantánea de los principales indicadores de amenazas de correo electrónico que observamos entre el 2 de mayo de 2022 y el 2 de mayo de 2023. Clasificamos los indicadores de amenaza en más de 30 categorías diferentes. Durante ese periodo, los principales indicadores de amenaza fueron enlaces maliciosos, antigüedad del dominio (dominios recién registrados), fraude de identidad, robo de credenciales y suplantación de marca.
A continuación, ofrecemos una breve descripción de cada una de las categorías principales (que detallamos en mayor profundidad en el apéndice del informe).
Si se hace clic, un enlace engañoso abrirá el navegador web predeterminado del usuario y mostrará los datos a los que se hace referencia en el enlace, o abrirá una aplicación directamente (por ejemplo, un PDF). Dado que el texto que aparece en un enlace (es decir, hipertexto) se puede establecer arbitrariamente en HTML, los atacantes pueden hacer que una URL parezca que enlaza con un sitio legítimo cuando, en realidad, es malicioso.
La antigüedad del dominio está relacionada con la reputación del dominio, que es la puntuación global asignada al mismo. Por ejemplo, los dominios que envían numerosos correos electrónicos nuevos inmediatamente después de su registro tenderán a tener una reputación peor y, por tanto, una puntuación más baja.
El engaño de identidad se produce cuando un atacante o alguien con intenciones maliciosas envía un correo electrónico haciéndose pasar por otra persona. Los mecanismos y las tácticas para ello varían mucho. Algunas tácticas incluyen el registro de dominios que parecen similares (también conocido como suplantación de dominio), que están falsificados o utilizan trucos en los nombres que se muestran para que parezca que proceden de un dominio de confianza. Otras variaciones incluyen el envío de correos electrónicos utilizando plataformas de servicios web de alta reputación y con enmascaramiento de dominio.
Un atacante configura las herramientas de robo de credenciales para engañar a los usuarios y que estos proporcionen sus credenciales de inicio de sesión. Los usuarios despistados pueden introducir sus credenciales, proporcionando en última instancia a los atacantes acceso a sus cuentas.
La suplantación de identidad de marca es una forma de engaño de identidad en la que un atacante envía un mensaje de phishing que suplanta la identidad de una empresa o marca reconocible. La suplantación de marca se lleva a cabo mediante una amplia variedad de técnicas.
Un archivo adjunto a un correo electrónico que, cuando se abre o ejecuta en el contexto de un ataque, incluye una llamada a la acción (p. ej, atrae al objetivo para que haga clic en un enlace) o realiza una serie de acciones establecidas por un atacante.
Cloudflare observa periódicamente varios indicadores de amenaza en un correo electrónico de phishing. Por ejemplo, una campaña de phishing con temática del Silicon Valley Bank (descrita en este blog de marzo de 2023) combinó la suplantación de identidad de marca con un enlace engañoso y un archivo adjunto malicioso.
Los atacantes utilizaron la marca Silicon Valley Bank en una plantilla temática de DocuSign. El correo electrónico incluía código HTML que contiene un enlace inicial y una compleja cadena de redireccionamiento de cuatro niveles de profundidad. El archivo HTML incluido en el ataque habría enviado al destinatario a una instancia de WordPress con capacidad de redireccionamiento recursivo.
(Hablando de enlaces, los enlaces engañosos fueron la categoría de amenaza n.º 1, y aparecieron en el 35,6 % de nuestras detecciones. Los atacantes no solo utilizan enlaces en los canales de correo electrónico. El aumento de las amenazas de phishing multicanal, que vulneran otras aplicaciones como SMS / texto, chat y redes sociales, también se aborda en el informe).
Marcas de confianza (y las más suplantadas)
Silicon Valley Bank fue solo una de las aproximadamente 1000 marcas diferentes que observamos que fueron suplantadas en correos electrónicos dirigidos a clientes de Cloudflare entre mayo de 2022 y mayo de 2023. (Los empleados de Cloudflare fueron blanco directo de una suplantación de identidad de la marca en el ataque de phishing "Oktapus" que la suite de productos Cloudflare One frustró en julio de 2022).
Sin embargo, tal y como se detalla en el informe sobre amenazas de phishing, observamos que los atacantes por correo electrónico se hicieron pasar con mayor frecuencia (el 51,7 % de las veces) por una de las 20 marcas mundiales más conocidas, entre las que Microsoft ocupaba el primer puesto.
| Clasificación |
Marca suplantada |
| 1 |
Microsoft |
| 2 |
Organización Mundial de la Salud |
| 3 |
Google |
| 4 |
SpaceX |
| 5 |
Salesforce |
| 6 |
Apple |
| 7 |
Amazon |
| 8 |
T-Mobile |
| 9 |
Youtube |
| 10 |
MasterCard |
| 11 |
Notion.so |
| 12 |
Comcast |
| 13 |
Line Pay |
| 14 |
MasterClass |
| 15 |
Box |
| 16 |
Truist Financial Corp |
| 17 |
Facebook |
| 18 |
Instagram |
| 19 |
AT&T |
| 20 |
Louis Vuitton |
Ejemplo de intento de robo de credenciales de Microsoft
A principios de este año, Cloudflare detectó y bloqueó una campaña de phishing que utilizaba la marca Microsoft para intentar recopilar credenciales a través de un sitio legítimo, pero vulnerado.
En el ejemplo de correo electrónico que aparece a continuación, no hay texto en el cuerpo del correo electrónico a pesar de su apariencia. Todo el cuerpo es una imagen JPEG que incluye un hipervínculo. Por lo tanto, si el destinatario hace clic en cualquier parte del cuerpo del correo (aunque no tenga intención de hacerlo), hará clic en el enlace.
Inicialmente, el hipervínculo de esta imagen parece ser una URL benigna de Baidu: hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#<dirección del destinatario del correo electrónico codificada en base64>. Sin embargo, si se hace clic en este enlace, el navegador del destinatario se redirigirá a un sitio que ha sido comprometido y utilizado para alojar un método de robo de credenciales.
El atacante utilizó la marca Microsoft Office 365, pero intentó eludir cualquier técnica de detección de marcas, incluida la información de la marca dentro de la imagen (es decir, no había texto sin formato ni texto HTML que se pudiera inspeccionar para identificar la marca).
Sin embargo, con el reconocimiento óptico de caracteres (OCR), Cloudflare logró identificar "Office 365" y "Microsoft" en la imagen. La tecnología OCR también nos permitió identificar el uso de señuelos de cuenta sospechosos relacionados con contraseñas.
En este ejemplo, las técnicas de los atacantes incluían:
La inclusión de solo una imagen JPEG (imposible detectar palabras sin OCR).
La inserción de un hipervínculo en esa imagen (al hacer clic en cualquier parte del cuerpo, se haría clic en el enlace).
Un hipervínculo a una URL de Baidu (utilizado para eludir las técnicas de detección de URL basadas en la reputación).
El redireccionamiento por parte de la URL de Baidu del navegador del destinatario a un sitio de robo de credenciales (es decir, eludiría otras defensas de seguridad del correo electrónico que no son capaces de inspeccionar enlaces profundos).
El alojamiento del programa de robo de credenciales en un sitio legítimo que haya sido vulnerado por el atacante (incluso con la inspección de enlaces profundos, intentará de nuevo eludir las técnicas de detección de URL basadas en la reputación).
Este vector de ataque aprovecha la gran reputación y autenticidad de Baidu para eludir la reputación del verdadero host / IP donde se aloja el programa de robo de credenciales.
Aunque esta campaña específica se centró en el robo de credenciales de Microsoft, a menudo vemos a los atacantes utilizar métodos similares para eludir las técnicas de detección de marcas y engañar a las víctimas para que descarguen malware y otras cargas malintencionadas.
Las técnicas de redirección de URL se suelen ver en las campañas de phishing, pero los ciberdelincuentes siguen perfeccionando su enfoque abusando cada vez más de dominios legítimos como baidu.com, bing.com, goo.gl, etc. Nuestras numerosas capacidades de detección nos permiten realizar una inspección de los enlaces profundos de las URL utilizando técnicas de redirección de todo tipo, incluidas aquellas que abusan de dominios legítimos.
¿Qué pasa con SPF, DKIM y DMARC?
La autenticación del correo electrónico (en concreto, los estándares SPF, DKIM y DMARC) suele ser útil contra la suplantación de marcas. Estos estándares ayudan a validar los orígenes del servidor y del inquilino, protegen la integridad de los mensajes, garantizan la aplicación de políticas y mucho más.
Sin embargo, los atacantes pueden encontrar formas de eludir la autenticación para engañar a las suites de correo electrónico. De hecho observamos que el 89 % de los mensajes no deseados "pasaron" las comprobaciones SPF, DKIM y/o DMARC.
Algunas limitaciones de la autenticación del correo electrónico son:
SPF
(Sender Policy Framework) |
Principales ventajas:
Validación del origen del servidor (es decir, valida el origen de un mensaje)
Definición de qué servidores y servicios de correo electrónico pueden enviar mensajes en nombre del propietario de un dominio |
Limitaciones:
No evita la suplantación de correos electrónicos, dominios o la falsificación de nombres de usuario
No valida el encabezado "De", utiliza el sobre "De" para determinar el dominio de envío
La validación es ineficaz cuando se reenvían correos electrónicos o cuando los mensajes enviados a una lista de correo se envían a cada suscriptor
El proceso de evaluación de SPF puede limitarse a un cierto número de búsquedas de DNS
No protege contra ataques que utilizan correos electrónicos "validados" con URL integradas, cargas malintencionadas o archivos adjuntos |
DKIM
(Mensajes de correo identificado con claves de dominio) |
Principales ventajas:
Validación del origen del inquilino (es decir, comprueba que el propietario del dominio ha enviado / autorizado un correo electrónico mediante una firma digital)
Garantiza que el correo electrónico no se altera mientras se transfiere de un servidor a otro. Protege la integridad de los mensajes |
Limitaciones:
No evita la suplantación de identidad de correos electrónicos, dominios o la falsificación de nombres de usuario
No protege contra los ataques de repetición (DKIM solo firma partes específicas de un mensaje. Los atacantes pueden añadir otros campos de encabezado a los correos electrónicos validados por DKIM y luego reenviarlos)
No protege contra los ataques que utilizan correos electrónicos “validados” con URL integradas, cargas malintencionadas o archivos adjuntos |
| DMARC (Autenticación basada en dominios para mensajes, informes y conformidad) |
Principales ventajas:
Aplicación de políticas e informes para SPF y DKIM
Establece la política a seguir si un correo electrónico no pasa la autenticación SPF o DKIM (por ejemplo, rechazar / eliminar, poner en cuarentena, sin política / enviar)
La función de informes permite a los propietarios de dominios ver quién está enviando correos electrónicos en su nombre (es decir, protegerse contra la suplantación de tu propio dominio y el abuso de marca) |
Limitaciones:
No evita la suplantación de dominio de otra marca
No evita la suplantación de correo electrónico, dominio o la falsificación de nombres de usuario.
Los propietarios de dominios especifican a qué porcentaje de correo se aplican las políticas DMARC. Los porcentajes de aplicación inferiores al 100 % son menos eficaces
No protege contra ataques que utilizan correos electrónicos «validados» con URL integradas, cargas maliciosas o archivos adjuntos. |
Las tácticas de los atacantes evolucionan constantemente. Es necesario aplicar numerosas capas de protección antes, durante y después de que los mensajes lleguen a las bandejas de entrada. Cloudflare nunca "confía" intrínsecamente en ningún tipo de comunicación por correo electrónico (ya sea interna, externa o procedente de un socio empresarial "conocido").
Del mismo modo, recomendamos que, ante todo, las organizaciones amplíen el modelo de seguridad Zero Trust (“no confiar nunca, verificar siempre”) no solo a la red y las aplicaciones, sino también a la bandeja de entrada del correo electrónico.
Además de proteger el correo electrónico con un enfoque Zero Trust, también recomendamos:
Complementar el correo electrónico en la nube con varios controles de protección contra el phishing. Como se señala en este blog de Forrester de junio: "El uso de aplicaciones de mensajería, colaboración, intercambio de archivos y software empresarial como servicio a través de numerosos dispositivos contribuye a mejorar la productividad y la experiencia de los empleados. Muchos de estos entornos se consideran "blindados", pero un solo ataque de phishing eficaz contra las credenciales de un socio de la cadena de suministro expone a tu organización a la pérdida de datos, al robo de credenciales, al fraude y a ataques de ransomware. Es vital ampliar los sistemas de protección desarrollados para la bandeja de entrada del correo electrónico a estos entornos y a los flujos de trabajo cotidianos de tus empleados".
Adoptar la autenticación multifactor resistente al phishing (MFA). Aunque no todas las herramientas de MFA proporcionan la misma capa de seguridad, las claves de seguridad de hardware se encuentran entre los métodos de autenticación más seguros para evitar el éxito de los ataques de phishing. Pueden proteger las redes incluso si los atacantes consiguen acceder a los nombres de usuario y las contraseñas.
Evitar que los humanos cometan errores. Aprovecha las capacidades con las que ya cuentan tus empleados y equipos, mejorando la seguridad de las herramientas que ya utilizan y evitando que cometan errores. Por ejemplo, la tecnología de aislamiento remoto del navegador (RBI), cuando se integra con la seguridad del correo electrónico en la nube, puede aislar automáticamente los enlaces de correo electrónico sospechosos para evitar que los usuarios se vean expuestos a contenido web potencialmente malicioso. Las entradas del teclado también se pueden desactivar en sitios web que no son de confianza, lo que protege a los usuarios de introducir accidentalmente información confidencial cuando rellenen formularios, o impide el robo de credenciales. De este modo, se proporciona una capa de defensa contra los ataques de phishing multicanal, ya que permite a los usuarios abrir enlaces de forma segura sin interrumpir su flujo de trabajo.
Si te interesa conocer todas las conclusiones, puedes descargar el informe sobre las amenazas de phishing en 2023 aquí, y consultar nuestras recomendaciones para prevenir con éxito los ataques de phishing. Y si deseas ver la seguridad del correo electrónico de Cloudflare en la práctica, puedes solicitar una evaluación gratuita del riesgo de phishing aquí.