Cyberseguridad
Alerta: nueva estafa de correo electrónico BEC roba credenciales para la página de Evernote
Avanan, una empresa de Check Point Software Technologies, descubre una nueva estafa que utiliza ataques Business Email Compromise (BEC) con enlaces de Evernote para alojar facturas enviadas en estos ataques

Investigadores de Avanan, una empresa de seguridad de colaboración y correo electrónico en la nube adquirida por Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder de soluciones de ciberseguridad a nivel mundial advierte sobre sus nuevos hallazgos con respecto a los ataques Business Email Compromise (BEC), o compromiso de correo electrónico empresarial, que representan uno de los ataques más rápidos y difíciles de bloquear en ciberseguridad. Hay una serie de variantes, pero en general, estos ataques BEC engañan a alguien de una organización, a menudo un ejecutivo de alto rango, y no siempre utilizan malware ni enlaces maliciosos. Algunos pueden usarlos, pero los más difíciles de prevenir se basan principalmente en texto.
“Estos ataques han provocado importantes pérdidas financieras, principalmente porque parecen reales. Piénselo desde la perspectiva del usuario final. Si recibe un correo electrónico de su ‘CEO’ pidiéndole que pague una factura o, peor aún, que solicite dinero a un cliente, ¿diría que no? Esto es lo que los ciberdelincuentes esperan que suceda. En un ataque BEC, hemos visto a los hackers volverse aún más creativos”, dijo Jeremy Fuchs, investigador y analista de seguridad cibernética de Avanan.
Los investigadores de Avanan analizaron cómo los atacantes utilizan la legitimidad de Evernote para ayudar a que sus ataques BEC sean aún más convincentes. En este ataque, los ciberdelincuentes utilizan los enlaces de Evernote para alojar las facturas que se envían:
- Vector de ataque: correo electrónico
- Tipo: Suplantación de identidad
- Técnicas: Compromiso de correo electrónico comercial
- Target: Cualquier usuario final

El ataque comienza con un mensaje adjunto, enviado directamente por el presidente de la organización en cuestión. Esta es una cuenta comprometida. Los hackers a menudo engañan a los ejecutivos utilizando trucos de campo del remitente; en este caso, el presidente de la organización estaba realmente comprometido y, por lo tanto, se envía directamente desde la cuenta de esa persona.
Desde entonces, la página de Evernote ha sido eliminada. Pero Evernote, como muchas empresas con sitios web legítimos, se usa cada vez más para hackear. Recientemente, de acuerdo con Huntress, ha habido un aumento en el alojamiento de documentos maliciosos en Evernote. En este caso, hay un documento en Evernote que conduce a una página de inicio de sesión falsa por robo de credenciales.
Técnicas
Los ataques BEC son difíciles de bloquear desde una perspectiva de seguridad y difíciles de reconocer desde la perspectiva del usuario final. Este ataque es un sello distintivo de esta dificultad. Comienza con un correo electrónico del presidente de una organización. La cuenta se vio comprometida, por lo que el correo electrónico pasará todas las medidas de autenticación. El mensaje en sí no es malicioso, ya que se vincula a un documento en el sitio web no malicioso de Evernote.
Detener los ataques BEC se vuelve extremadamente importante y hay algunas cosas que deben hacerse. Por un lado, la inteligencia artificial (IA) y el aprendizaje automático (ML) deben estar involucrados para tener la capacidad de comprender el contenido, el contexto y el tono de un correo electrónico, y comprender cuándo difieren. Por ejemplo, ¿el presidente de la organización suele enviar enlaces a Evernote?
También verificar si la organización tiene una cuenta de protección contra robo de cuentas. No se sabe cómo se comprometió inicialmente a este usuario, pero hoy en día es posible proporcionar al hacker muchas de las formas de hacerlo: correo electrónico, mensaje de texto, voz, chat, archivo compartido. Por lo tanto, es fundamental comprender los eventos de inicio de sesión, los cambios de configuración y la actividad del usuario final en una suite de productividad completa.
Mejores prácticas: orientación y recomendaciones
Para protegerse contra estos ataques, los profesionales de la seguridad deben hacer lo siguiente:
- Comprobar siempre las direcciones de respuesta para asegurarse de que coincidan.
- Si alguna vez tienen preguntas sobre un correo electrónico, hay que preguntarle al remitente original.
- Crear procesos para que los empleados los sigan cuando paguen facturas o ingresen credenciales.
- Leer todo el correo electrónico; buscar cualquier inconsistencia, errores ortográficos o discrepancias.
- Si se usan banners, asegúrese de no “bombardear” a los usuarios finales con ellos; usarlos solo en momentos críticos para que los usuarios finales los tomen en serio.
- Implementar seguridad avanzada que observe más de un indicador para determinar si un correo electrónico está limpio o no.
- Implementar la autenticación multifactor para todas las cuentas, pero especialmente para el correo electrónico.
- Configurar las cuentas para que le notifiquen los cambios.
- Usar un administrador de contraseñas para crear y almacenar sus contraseñas; el profesional de seguridad nunca debe conocer su propia contraseña.
- Supervisar siempre todas las URL, incluso las que no están en el cuerpo del correo electrónico.
- Recordarle a los usuarios que solo compartan información personal en tiempo real, en persona o por teléfono. Animarlos a ser escépticos con todos los mensajes con enlaces y a verificar siempre con el remitente, en tiempo real, cualquier mensaje con archivos adjuntos.
Actualidad
Phishing 3.0: los remitentes del correo electrónico pueden no ser quien dicen ser
PayPal y Google encabezan los servicios más suplantados, seguidos por SharePoint, Fedex, Intuit, RingCentral e iCloud.

Según muestra el último Security Report 2023 elaborado por Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, la proporción de ataques por correo electrónico ha aumentado hasta alcanzar la asombrosa cifra récord del 86% de todos los ataques in-the-wild con archivos.
El ataque al correo electrónico empresarial (BEC) es un tipo específico de “spear phishing” con el que se busca engañar a los empleados para que tomen acciones de manera precipitada, desembocando en pérdidas o daños para ellos o las empresas a las que pertenecen.
Este método es uno de los modelos de phishing más dañinos y costosos que existen: el FBI señala que las estafas relacionadas con los ciberataques BEC ocasionaron unas pérdidas de 2.700 millones de dólares en 2022, en comparación con solo 34 millones de dólares acumulados por el ransomware, a pesar de su popularidad.
La sofisticación de los ciberdelincuentes y sus tácticas en constante evolución han aumentado con el tiempo. Los datos de este estudio muestran un crecimiento del uso de varios formatos de archivo para ocultar estas cargas maliciosas. Y es que los ciberataques BEC han afectado ya a empresas y organizaciones, grandes y pequeñas, en más de 150 países de todo el mundo.
BEC evoluciona otra vez
Los ataques BEC se popularizaron alrededor de 2020, cuando se detectó un alto volumen de correos electrónicos supuestamente remitidos por altos ejecutivos. La estafa se basa en gran medida en el hecho de que los mensajes parecen ser genuinos y de alguien en una posición de poder, lo que normalmente no levantaría sospechas para el destinatario, con el objetivo final de convencer al destinatario de que envíe dinero al atacante mientras cree que está realizando una transacción comercial legítima y autorizada.
Sin embargo, los ataques han cambiado a un método en el que el ciberatacante compromete una cuenta de una empresa o uno de sus socios y la utiliza para insertarse en hilos de correo electrónico legítimos, suplantando su identidad. Así pues, la selección de estos trabajadores y cadenas de emails generalmente involucra temáticas recogidas alrededor del ámbito financiero, incluyendo facturas en las que los ciberatacantes modifican los detalles e información bancaria. Debido al contenido de los correos electrónicos, estas estafas suelen ser más frecuentes al final del mes o de un trimestre financiero, cuando es más probable que sucedan estas transacciones comerciales.
Durante su estudio, los investigadores de Avanan, una compañía de Check Point Software, han observado un aumento preocupante en lo que parece ser otra progresión de estos ciberataques: la suplantación de la empresa BEC o las estafas de phishing 3.0.
Concretamente, durante los últimos dos meses (febrero y marzo de 2023), se han detectado un total de 33.817 ataques de suplantación de identidad de empresas y servicios legítimos conocidos como, por ejemplo, PayPal o Google, entre otros.
Gracias a su investigación, se pueden ver ejemplos de los correos electrónicos legítimos utilizados por los ciberatacantes para la realización de estas estafas BEC. Todo lo que tienen que hacer es crear una cuenta gratuita de Google suplantando la identidad de una entidad, crear un documento compartido y mencionar en él la dirección de correo de sus objetivos. De esta manera, los destinatarios reciben una notificación por email con un remitente oficial de Google.
Cuando las víctimas acceden a los enlaces del correo se las redirige a un sitio web de criptomonedas falso. Estos portales suelen ser sitios de phishing directos, donde se busca robar credenciales y datos sensibles, además de otras prácticas como el robo directo o la minería criptográfica.
Cómo protegerse contra los ataques BEC
Aunque los ciberataques BEC pueden llegar a ser extremadamente costoso y perjudiciales para una empresa, Check Point Software comparte algunas precauciones simples de seguridad para evitarlos:
- Protecciones antiphishing: dado que los correos electrónicos BEC son un tipo de phishing, la implementación de soluciones antiphishing es esencial para protegerse contra ellos. Estas soluciones deben ser capaces de identificar las ‘red flags’ de los emails BEC (como las direcciones de respuesta que no coinciden con las direcciones del remitente) y utilizar el aprendizaje automático para analizar el lenguaje en busca de indicios de un posible ciberataque.
- Educación de los empleados: este tipo de ciberataques está dirigido directamente a los empleados de una empresa, lo que hace que la capacitación en concientización sobre la seguridad del correo electrónico sea vital para asegurar la ciberseguridad. Formar a los empleados sobre cómo identificar y responder ante el phishing BEC es esencial para minimizar la amenaza.
- Separación de funciones: los ciberataques BEC intentan engañar a los trabajadores para que tomen una acción de alto riesgo (como enviar dinero o información confidencial) sin verificar la solicitud. La implementación de políticas para estas acciones que requieren la verificación independiente de un segundo empleado puede ayudar a disminuir la probabilidad de un ataque exitoso.
- Etiquetado de correos electrónicos externos: comúnmente los ciberatacantes intentan suplantar direcciones de correo electrónico internas utilizando la imitación de dominios similares. Configurar programas de correo electrónico para etiquetar los correos procedentes de fuera de la empresa es de gran ayuda para limitar estas prácticas.
“La falta de una mayor educación en ciberseguridad continúa siendo una de las principales anclas del sector, provocando que este tipo de ataques de phishing resulten altamente efectivos” comparte Jeremy Fuchs, vocero de Avanan, una empresa de Check Point. “Un esfuerzo al que se deben sumar las propias empresas, con la implantación de soluciones especializadas como Check Point Harmony Email & Collaboration, que ofrece una protección contra ataques BEC además de una prevención ante la pérdida de datos”.
Actualidad
Check Point Research detecta nuevos paquetes maliciosos ocultos en Python
El principal objetivo del malware insertado está enfocado al secuestro de los sistemas afectados para el minado de criptomonedas.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha logrado detectar la presencia de código malicioso en varios paquetes en PyPI (Python Package Index), ayudando a la identificación y eliminación de estos.
Desde hace años, PyPI se ha convertido en una herramienta esencial para la comunidad de Python, permitiendo a los desarrolladores descubrir y usar fácilmente paquetes de terceros, fomentando la colaboración y el intercambio entre programadores de todo el mundo albergando miles de paquetes de código abierto. Por desgracia, dada su naturaleza colaborativa en la que cualquiera puede subir un nuevo paquete, los ciberdelincuentes han comenzado a explotar esta plataforma para el compartido de malware.
Los paquetes maliciosos detectados muestran cómo el phishing se ha convertido en una de las herramientas más utilizadas por los atacantes. Ocultos entre las diferentes versiones de los paquetes legítimos, contienen código malicioso que se descarga y ejecuta como parte de su proceso de instalación del programa original al que emulan.
Uno de los ataques detectados fue ‘aiotoolsbox’, que, si bien puede parecer un paquete benigno a primera vista, resultó ser una réplica exacta (aunque adulterada) del legítimo ‘aiotools’. Es importante tener en cuenta que mientras que la tipología (el uso de nombres que se asemejan a los originales para engañar a los usuarios) es una metodología de ataque bastante común, la copia idéntica del código de estos es una práctica menos común que parece estar en creciente auge. Un pequeño esfuerzo extra que presenta el cambio a unas campañas de phishing más sofisticadas y difíciles de detectar.
El paquete benigno aiotools junto a la maliciosa aiotoolsbox
Buscando en los metadatos de los paquetes, los investigadores de Check Point Software han detectado que comparten el mismo autor, aprovechándose del hecho de que son de texto libre. De esta manera el atacante podría imitar fácilmente el campo de autor.
Aunque mirando en más detalle, todavía se puede identificar un mantenedor diferente. Según los detalles de aiotoolsbox, son contribuyentes de PyPI desde 2019. Aunque dado el hecho de que los únicos dos paquetes que tienen fueron publicados recientemente, es justo suponer que se trata de una cuenta vulnerada recientemente. Analizando el código de configuración de aiotoolsbox, se detecta un fragmento extraño que, como parte del proceso de instalación, descarga, extrae y ejecuta un zip, para luego eliminar su contenido y rastro.
El primer punto interesante de esta acción es el hecho de que el zip se está descargando de un servidor llamado ‘files.pythonhosted.org’, que aparentemente legítimo, se trata de una segunda capa de phishing que intenta ocultarse como el sitio oficial de alojamiento de paquetes PyPI. Por otra parte, además de la setup.py mencionada, el resto de los archivos presentes son iguales a los pertenecientes al original de aiotools, haciendo que el usuario obtenga todas las funcionalidades básicas que estaba buscando, ocultando así que ha instalado un paquete malicioso.
“Con el aumento de la frecuencia de los ataques a la cadena de suministro, es esencial verificar el software que se utiliza, y especialmente aquellos desarrollados por terceros” explica Eusebio Nieva, director técnico en Check Point Software para España y Portugal. “Para combatir y prevenir estos ataques que pueden conducir a riesgos en la cadena de suministro, continuamos utilizando CloudGuard Spectral para monitorizar periódicamente estos repositorios. Nuestra misión es construir un proceso de desarrollo seguro”.
Actualidad
5 consejos para operar con billeteras digitales de manera segura
Las billeteras electrónicas apuntan a convertirse en el medio de pago favorito de los argentinos. La comodidad de no usar dinero físico y tener todo centralizado en el celular implica también prestar atención a ciertos aspectos vinculados a la seguridad para no ser víctima de ciberataques.

Un informe de Red Link sobre el “Uso Dinero Electrónico” reveló que en mayo del año pasado hubo un auge de las billeteras electrónicas: se registraron más de 1,5 millones, marcando un incremento de 18,4 % con respecto al mes anterior. Estas cifras, si bien exponen la creciente adopción de las billeteras digitales, también son un incentivo para incrementar las medidas de seguridad que se deben aplicar a las mismas, ya que, mientras más crece su uso también lo hacen las amenazas.
Las billeteras poseen procesos para resguardar la información, como por ejemplo informar al usuario las cláusulas de confidencialidad, tratamientos de reclamos, declaración de bases de datos con datos personales, encriptación de datos personales, aplicar mecanismos de seguridad y protocolos para todos las etapas del desarrollo. El problema persiste en la seguridad aplicada por el usuario para resguardar sus datos, por ello es muy importante informar y educar a todos los usuarios de billeteras y aplicaciones personales, las mejores opciones para proteger dicha información.
“Generalmente recibimos correos o mensajes donde solicitan información sobre códigos, contraseñas o números de tarjetas. Es muy importante tener en cuenta que ninguna entidad solicitará este tipo de datos mediante un mensaje o correo electrónico. Existen unas series de medidas de seguridad que debemos tener en cuenta en nuestro celular para prevenir posibles intentos de fraude a través de billeteras digitales.” mencionó Diego del Castillo, Lead Project Manager de Snoop Consulting, desarrolladora local de este tipo de productos.
A continuación, los especialistas comparten sus recomendaciones para evitar ser víctima de ciberataques:
- En el caso de utilizar varios dispositivos, no repetir claves. Cada dispositivo debe tener una clave única, de esta manera lograremos en el caso de tener un dispositivo comprometido no afectar al resto.
- La contraseña debe ser confiable, evitar utilizar nombres propios o de familiares directos, número consecutivos, fechas de nacimiento, nombre del perro. Es decir no incluir datos fáciles de detectar.
- Bloquear el acceso al celular con un pin de 4 dígitos, recordando que no deben ser consecutivos. También si el celular permite utilizar datos biométricos, Huella digital y/o Reconocimiento Facial. (Solo se podrá desbloquear el celular con nuestros datos biométricos, no será posible acceder a nuestro celular en caso de robo o extravío)
- Otra medida de protección es configurar en las aplicaciones el doble factor de autenticación.
- Tener registrado (no en el celular) el código de IMEI del teléfono, denunciar el robo o extravío a la compañía de teléfono para que la línea sea dada de baja y poder acceder a otra tarjeta SIM, cambiar las claves de todas las aplicaciones, no responder a mensajes que solicitan números de contraseña, no hacer click en correos adjuntos, mensajes o enlaces compartidos de dudosa procedencia y siempre prestar gran atención al historial de movimientos.
“Es importante no responder a mensajes que solicitan números de contraseña, no hacer click en correos adjuntos, mensajes o enlaces compartidos de dudosa procedencia y siempre prestar gran atención al historial de movimientos.” agregó Silvia Quinteros, Gerente de Proyectos en Snoop Consulting.
Los ciberdelincuentes buscan todo tipo de información que los ayude a cumplir su objetivo, poder obtener dinero, acceder a compras, ingresar a los contactos para solicitar prestamos de dinero y en muchos casos solicitar préstamos personales online. De esta forma, en caso de un hackeo, pérdida o robo del dispositivo es importante realizar inmediatamente el reporte a las instituciones bancarias relacionadas a billeteras para cancelar las aplicaciones y asegurarse que nadie pueda ingresar a las mismas.
Hoy en día las empresas invierten muchísimo en proteger la seguridad de las billeteras, para hacerlas cada vez más fiables y seguras, sin embargo,al igual que pasa con otros medios de pagos, se deben tomar ciertos recaudos para evitar vulnerabilidades. Sin duda, siempre que se adoptan nuevas tecnologías, se hace más importante educar e informar sobre las buenas prácticas respecto a las mismas.
- Actualidad1 día atrás
Check Point Research detecta nuevos paquetes maliciosos ocultos en Python
- Actualidad10 horas atrás
Phishing 3.0: los remitentes del correo electrónico pueden no ser quien dicen ser
- Actualidad2 días atrás
La Conferencia Mundial de Desarrolladores de Apple ya tiene fecha
- Actualidad1 día atrás
Presentan en Argentina los nuevos Samsung Galaxy A34 5G y Galaxy A54 5G