Según muestra el último Security Report 2023 elaborado por Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, la proporción de ataques por correo electrónico ha aumentado hasta alcanzar la asombrosa cifra récord del 86% de todos los ataques in-the-wild con archivos.

El ataque al correo electrónico empresarial (BEC) es un tipo específico de “spear phishing” con el que se busca engañar a los empleados para que tomen acciones de manera precipitada, desembocando en pérdidas o daños para ellos o las empresas a las que pertenecen.

Este método es uno de los modelos de phishing más dañinos y costosos que existen: el FBI señala que las estafas relacionadas con los ciberataques BEC ocasionaron unas pérdidas de 2.700 millones de dólares en 2022, en comparación con solo 34 millones de dólares acumulados por el ransomware, a pesar de su popularidad.

La sofisticación de los ciberdelincuentes y sus tácticas en constante evolución han aumentado con el tiempo. Los datos de este estudio muestran un crecimiento del uso de varios formatos de archivo para ocultar estas cargas maliciosas. Y es que los ciberataques BEC han afectado ya a empresas y organizaciones, grandes y pequeñas, en más de 150 países de todo el mundo.

BEC evoluciona otra vez

Los ataques BEC se popularizaron alrededor de 2020, cuando se detectó un alto volumen de correos electrónicos supuestamente remitidos por altos ejecutivos. La estafa se basa en gran medida en el hecho de que los mensajes parecen ser genuinos y de alguien en una posición de poder, lo que normalmente no levantaría sospechas para el destinatario, con el objetivo final de convencer al destinatario de que envíe dinero al atacante mientras cree que está realizando una transacción comercial legítima y autorizada.

Sin embargo, los ataques han cambiado a un método en el que el ciberatacante compromete una cuenta de una empresa o uno de sus socios y la utiliza para insertarse en hilos de correo electrónico legítimos, suplantando su identidad. Así pues, la selección de estos trabajadores y cadenas de emails generalmente involucra temáticas recogidas alrededor del ámbito financiero, incluyendo facturas en las que los ciberatacantes modifican los detalles e información bancaria.  Debido al contenido de los correos electrónicos, estas estafas suelen ser más frecuentes al final del mes o de un trimestre financiero, cuando es más probable que sucedan estas transacciones comerciales.

Durante su estudio, los investigadores de Avanan, una compañía de Check Point Software, han observado un aumento preocupante en lo que parece ser otra progresión de estos ciberataques: la suplantación de la empresa BEC o las estafas de phishing 3.0.

Concretamente, durante los últimos dos meses (febrero y marzo de 2023), se han detectado un total de 33.817 ataques de suplantación de identidad de empresas y servicios legítimos conocidos como, por ejemplo, PayPal o Google, entre otros.

Gracias a su investigación, se pueden ver ejemplos de los correos electrónicos legítimos utilizados por los ciberatacantes para la realización de estas estafas BEC. Todo lo que tienen que hacer es crear una cuenta gratuita de Google suplantando la identidad de una entidad, crear un documento compartido y mencionar en él la dirección de correo de sus objetivos. De esta manera, los destinatarios reciben una notificación por email con un remitente oficial de Google.

Cuando las víctimas acceden a los enlaces del correo se las redirige a un sitio web de criptomonedas falso. Estos portales suelen ser sitios de phishing directos, donde se busca robar credenciales y datos sensibles, además de otras prácticas como el robo directo o la minería criptográfica.

Cómo protegerse contra los ataques BEC

Aunque los ciberataques BEC pueden llegar a ser extremadamente costoso y perjudiciales para una empresa, Check Point Software comparte algunas precauciones simples de seguridad para evitarlos:

• Protecciones antiphishing: dado que los correos electrónicos BEC son un tipo de phishing, la implementación de soluciones antiphishing es esencial para protegerse contra ellos. Estas soluciones deben ser capaces de identificar las ‘red flags’ de los emails BEC (como las direcciones de respuesta que no coinciden con las direcciones del remitente) y utilizar el aprendizaje automático para analizar el lenguaje en busca de indicios de un posible ciberataque.

• Educación de los empleados: este tipo de ciberataques está dirigido directamente a los empleados de una empresa, lo que hace que la capacitación en concientización sobre la seguridad del correo electrónico sea vital para asegurar la ciberseguridad. Formar a los empleados sobre cómo identificar y responder ante el phishing BEC es esencial para minimizar la amenaza.

• Separación de funciones: los ciberataques BEC intentan engañar a los trabajadores para que tomen una acción de alto riesgo (como enviar dinero o información confidencial) sin verificar la solicitud. La implementación de políticas para estas acciones que requieren la verificación independiente de un segundo empleado puede ayudar a disminuir la probabilidad de un ataque exitoso.

• Etiquetado de correos electrónicos externos: comúnmente los ciberatacantes intentan suplantar direcciones de correo electrónico internas utilizando la imitación de dominios similares. Configurar programas de correo electrónico para etiquetar los correos procedentes de fuera de la empresa es de gran ayuda para limitar estas prácticas.

“La falta de una mayor educación en ciberseguridad continúa siendo una de las principales anclas del sector, provocando que este tipo de ataques de phishing resulten altamente efectivos” comparte Jeremy Fuchs, vocero de Avanan, una empresa de Check Point. “Un esfuerzo al que se deben sumar las propias empresas, con la implantación de soluciones especializadas como Check Point Harmony Email & Collaboration, que ofrece una protección contra ataques BEC además de una prevención ante la pérdida de datos”.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha logrado detectar la presencia de código malicioso en varios paquetes en PyPI (Python Package Index), ayudando a la identificación y eliminación de estos.

Desde hace años, PyPI se ha convertido en una herramienta esencial para la comunidad de Python, permitiendo a los desarrolladores descubrir y usar fácilmente paquetes de terceros, fomentando la colaboración y el intercambio entre programadores de todo el mundo albergando miles de paquetes de código abierto. Por desgracia, dada su naturaleza colaborativa en la que cualquiera puede subir un nuevo paquete, los ciberdelincuentes han comenzado a explotar esta plataforma para el compartido de malware.

Los paquetes maliciosos detectados muestran cómo el phishing se ha convertido en una de las herramientas más utilizadas por los atacantes. Ocultos entre las diferentes versiones de los paquetes legítimos, contienen código malicioso que se descarga y ejecuta como parte de su proceso de instalación del programa original al que emulan.

Uno de los ataques detectados fue ‘aiotoolsbox’, que, si bien puede parecer un paquete benigno a primera vista, resultó ser una réplica exacta (aunque adulterada) del legítimo ‘aiotools’. Es importante tener en cuenta que mientras que la tipología (el uso de nombres que se asemejan a los originales para engañar a los usuarios) es una metodología de ataque bastante común, la copia idéntica del código de estos es una práctica menos común que parece estar en creciente auge. Un pequeño esfuerzo extra que presenta el cambio a unas campañas de phishing más sofisticadas y difíciles de detectar.

El paquete benigno aiotools junto a la maliciosa aiotoolsbox

Buscando en los metadatos de los paquetes, los investigadores de Check Point Software han detectado que comparten el mismo autor, aprovechándose del hecho de que son de texto libre. De esta manera el atacante podría imitar fácilmente el campo de autor.

Aunque mirando en más detalle, todavía se puede identificar un mantenedor diferente. Según los detalles de aiotoolsbox, son contribuyentes de PyPI desde 2019. Aunque dado el hecho de que los únicos dos paquetes que tienen fueron publicados recientemente, es justo suponer que se trata de una cuenta vulnerada recientemente. Analizando el código de configuración de aiotoolsbox, se detecta un fragmento extraño que, como parte del proceso de instalación, descarga, extrae y ejecuta un zip, para luego eliminar su contenido y rastro.

El primer punto interesante de esta acción es el hecho de que el zip se está descargando de un servidor llamado ‘files.pythonhosted.org’, que aparentemente legítimo, se trata de una segunda capa de phishing que intenta ocultarse como el sitio oficial de alojamiento de paquetes PyPI. Por otra parte, además de la setup.py mencionada, el resto de los archivos presentes son iguales a los pertenecientes al original de aiotools, haciendo que el usuario obtenga todas las funcionalidades básicas que estaba buscando, ocultando así que ha instalado un paquete malicioso.

“Con el aumento de la frecuencia de los ataques a la cadena de suministro, es esencial verificar el software que se utiliza, y especialmente aquellos desarrollados por terceros” explica Eusebio Nieva, director técnico en Check Point Software para España y Portugal. “Para combatir y prevenir estos ataques que pueden conducir a riesgos en la cadena de suministro, continuamos utilizando CloudGuard Spectral para monitorizar periódicamente estos repositorios. Nuestra misión es construir un proceso de desarrollo seguro”.

Un informe de Red Link sobre el “Uso Dinero Electrónico” reveló que en mayo del año pasado hubo un auge de las billeteras electrónicas: se registraron más de 1,5 millones, marcando un incremento de 18,4 % con respecto al mes anterior. Estas cifras, si bien exponen la creciente adopción de las billeteras digitales, también son un incentivo para incrementar las medidas de seguridad que se deben aplicar a las mismas, ya que, mientras más crece su uso también lo hacen las amenazas.

Las billeteras poseen procesos para resguardar la información, como por ejemplo informar al usuario las cláusulas de confidencialidad, tratamientos de reclamos, declaración de bases de datos con datos personales, encriptación de datos personales, aplicar mecanismos de seguridad y protocolos para todos las etapas del desarrollo. El problema persiste en la seguridad aplicada por el usuario para resguardar sus datos, por ello es muy importante informar y educar a todos los usuarios de billeteras y aplicaciones personales, las mejores opciones para proteger dicha información.

“Generalmente recibimos correos o mensajes donde solicitan información sobre códigos, contraseñas o números de tarjetas. Es muy importante tener en cuenta que ninguna entidad solicitará este tipo de datos mediante un mensaje o correo electrónico. Existen unas series de medidas de seguridad que debemos tener en cuenta en nuestro celular para prevenir posibles intentos de fraude a través de billeteras digitales.” mencionó Diego del Castillo, Lead Project Manager de Snoop Consulting, desarrolladora local de este tipo de productos.

A continuación, los especialistas comparten sus recomendaciones para evitar ser víctima de ciberataques:

1. En el caso de utilizar varios dispositivos, no repetir claves. Cada dispositivo debe tener una clave única, de esta manera lograremos en el caso de tener un dispositivo comprometido no afectar al resto.
2. La contraseña debe ser confiable, evitar utilizar nombres propios o de familiares directos, número consecutivos, fechas de nacimiento, nombre del perro. Es decir no incluir datos fáciles de detectar.
3. Bloquear el acceso al celular con un pin de 4 dígitos, recordando que no deben ser consecutivos. También si el celular permite utilizar datos biométricos, Huella digital y/o Reconocimiento Facial. (Solo se podrá desbloquear el celular con nuestros datos biométricos, no será posible acceder a nuestro celular en caso de robo o extravío)
4. Otra medida de protección es configurar en las aplicaciones el doble factor de autenticación.
5. Tener registrado (no en el celular) el código de IMEI del teléfono, denunciar el robo o extravío a la compañía de teléfono para que la línea sea dada de baja y poder acceder a otra tarjeta SIM, cambiar las claves de todas las aplicaciones, no responder a mensajes que solicitan números de contraseña, no hacer click en correos adjuntos, mensajes o enlaces compartidos de dudosa procedencia y siempre prestar gran atención al historial de movimientos.

“Es importante no responder a mensajes que solicitan números de contraseña, no hacer click en correos adjuntos, mensajes o enlaces compartidos de dudosa procedencia y siempre prestar gran atención al historial de movimientos.” agregó Silvia Quinteros, Gerente de Proyectos en Snoop Consulting.

Los ciberdelincuentes buscan todo tipo de información que los ayude a cumplir su objetivo, poder obtener dinero, acceder a compras, ingresar a los contactos para solicitar prestamos de dinero y en muchos casos solicitar préstamos personales online. De esta forma, en caso de un hackeo, pérdida o robo del dispositivo es importante realizar inmediatamente el reporte a las instituciones bancarias relacionadas a billeteras para cancelar las aplicaciones y asegurarse que nadie pueda ingresar a las mismas.

Hoy en día las empresas invierten muchísimo en proteger la seguridad de las billeteras, para hacerlas cada vez más fiables y seguras, sin embargo,al igual que pasa con otros medios de pagos, se deben tomar ciertos recaudos para evitar vulnerabilidades. Sin duda, siempre que se adoptan nuevas tecnologías, se hace más importante educar e informar sobre las buenas prácticas respecto a las mismas.