ESET Cloud Office Security incorpora nuevas funcionalidades para detectar ataques de spoofing y homográficos
Los seres humanos son considerados el eslabón más débil de la ciberseguridad, especialmente por su tendencia a caer en ataques de phishing. Las empresas suelen abordar este problema con capacitaciones en concientización sobre ciberseguridad, lo cual es muy útil, pero difícilmente puede cubrir todas las amenazas a las que se enfrentan los empleados en el mundo digital.
Por ejemplo, los consejos sobre cómo identificar un correo electrónico de phishing suelen aconsejar a los usuarios que comprueben si el nombre del remitente del correo electrónico es correcto. Pero, ¿y si los atacantes utilizan trucos visuales para hacer que el correo electrónico del remitente parezca legítimo a pesar de ser falso? ¿Y si el correo electrónico del remitente está falsificado de manera que incluso el ojo más atento no puede notar la diferencia?
Para proteger a las empresas y a sus empleados de los ataques de suplantación de identidad (spoofing) y homográficos, ESET equipó su ESET Cloud Office Security con anti-spoofing y protección anti-homoglifos, capaces de reconocer aquellas discrepancias en los correos electrónicos maliciosos que los ojos humanos no pueden detectar.
Además de eso, el nuevo ESET Cloud Office Security presenta la función Email Clawback, de recuperación de correo electrónico para simplificar la gestión de la cuarentena de correo electrónico y un panel de control mejorado para una rápida visión de seguridad de lo que está sucediendo en Microsoft 365 o Google Workspace de una empresa.
Pérdidas que hacen llorar
Según el Informe de Investigaciones de Brechas de Datos 2024 de Verizon , el 68% de las filtraciones involucraron un elemento humano no malicioso, y la mayoría de esos ataques fueron phishing (engaño hacia un usuario para que proporcione información confidencial o descargue contenido malicioso) o pretexting (uso de una historia inventada, o pretexto, para ganarse la confianza de la víctima) a través de correo electrónico.
Estos ataques pueden infligir enormes daños financieros. El Informe de Costo de una Brecha de Datos 2024 de IBM, realizado por el Instituto Ponemon, calculó que las pérdidas empresariales promedio derivadas de los ataques de phishing sufridos por las empresas encuestadas alcanzaron los 4.88 millones de dólares.
La investigación de ESET ha demostrado repetidamente que los ciberdelincuentes mejoran sus métodos de phishing de múltiples maneras, incluyendo ataques que engañan la vista y evitan levantar las típicas banderas rojas o señales de alerta. En estos casos, los empleados suelen enfrentarse a algún tipo de ataque homoglifo o de suplantación de identidad combinado con un cuerpo de correo electrónico bien redactado. Esto último ya no es tan difícil de lograr gracias a los traductores automáticos de alta calidad y los chatbots de IA disponibles en la actualidad.
Ataques cibernéticos que engañan los ojos
Estas son algunas de las ciberamenazas más comunes a las que hay que prestar atención:
- Suplantación del remitente de correo electrónico: la suplantación del remitente de correo electrónico es una técnica de phishing en la que los atacantes configuran la dirección "De" en un correo electrónico para que parezca un remitente confiable. La práctica común entre los ciberdelincuentes también incluye configurar el campo "Responder a", para que parezca la dirección del remitente legítimo a pesar de la respuesta se envíe de vuelta al atacante.
- Ataque homoglífico: los ataques homóglifos u homográficos explotan el hecho de que varios caracteres diferentes se ven muy similares. Para entender esta técnica, comprueba el nombre de dominio "℮s℮t.com". Nada parece sospechoso, ¿verdad? Pero, de hecho, este no es el verdadero nombre de dominio de ESET porque contiene símbolos de estimación "℮" en lugar de la letra del alfabeto "e".
- Typosquatting: al igual que los ataques homográficos, el typosquatting también utiliza trucos visuales para hacer que los enlaces de phishing parezcan legítimos, pero en lugar de cambiar los caracteres, se basa en pequeños errores tipográficos como "eseet.com" en lugar de "eset.com".
Ejemplos reales de ataques cibernéticos
En el último Informe de Actividad de Amenazas de ESET APT Q22024-Q3 2024, se describe una de las campañas recientes relacionadas con la suplantación de identidad. El grupo Kimsuky, alineado con Corea del Norte, utilizó la suplantación de identidad para crear correos electrónicos creíbles de spear phishing dirigidos a expertos en Corea del Norte que trabajan para ONGs e investigadores en círculos académicos. Los correos electrónicos contenían solicitudes falsas para una entrevista con medios de comunicación o para realizar una presentación. Después de ganarse la confianza de la víctima, Kimsuky entrega un paquete malicioso, generalmente disfrazado como una lista de preguntas que debían responderse antes del evento.
El grupo Kimsuky creó nombres de usuario falsos y utilizó nombres de dominio legítimos para hacerse pasar por personas de organizaciones de confianza, incluidos grupos de expertos e instituciones de educación superior.
La suplantación de identidad no solo se utiliza en casos de campañas de spear phishing, cuidadosamente diseñadas y dirigidas, sino que también puede ser utilizada por los ciberdelincuentes que ofrecen sus servicios de estafa en masa. Por ejemplo, los investigadores de ESET detectaron correos electrónicos falsos generados automáticamente al analizar el kit de herramientas Telekopye, que funciona como un bot de Telegram que ayuda a los estafadores a engañar a sus víctimas en los mercados en línea.
El typosquatting también puede verse comúnmente implementado en campañas de spam y phishing. Por ejemplo, los investigadores de ESET notaron esta técnica mientras analizaban la campaña de Rescoms dirigida a empresas en Polonia en septiembre de 2023. Rescoms, también conocido como Remcos, es un malware troyano de acceso remoto (RAT) que permite a los atacantes controlar de forma remota una computadora comprometida.
Los atacantes intentaron propagar Rescoms a través de archivos adjuntos maliciosos de correos electrónicos no deseados cuidadosamente elaborados y enviados desde dominios imitando a los de empresas legítimas. Los atacantes investigaron y utilizaron los nombres de las empresas polacas existentes y sus empleados o propietarios, y la información de contacto al firmar esos correos electrónicos.
Con los ojos bien abiertos
Al ver estos ejemplos de la vida real, queda claro que los cursos típicos de concienciación en ciberseguridad deben complementarse con tecnología de ciberseguridad capaz de detectar amenazas que el ojo humano no puede.
La última versión de ESET Cloud Office Security aborda esta problemática incorporando dos nuevas funciones: protección contra la suplantación de identidad y anti-homoglifos, al tiempo que simplifica su sistema de gestión de correo electrónico.
Todos estos cambios contribuyen al enfoque de ESET de prevención primero, que mitiga los riesgos asociados con las amenazas avanzadas y minimiza el tiempo que los equipos de seguridad deben dedicar a la respuesta y corrección de incidentes.
Mejoras de ESET Cloud Office Security
- Anti-spoofing – una característica que identifica y evita que los atacantes se hagan pasar por fuentes de confianza. Las empresas pueden establecer reglas de verificación para los correos electrónicos entrantes que se basan en herramientas de verificación estándar de la industria:
- DKIM (DomainKeys Identified Mail): que verifica las firmas de correo electrónico.
- SPF (Sender Policy Framework): que verifica el servidor de un remitente.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): que le da al dominio de un remitente la capacidad de decirle a un receptor qué hacer si el correo electrónico verificado no pasa esos dos métodos de autenticación anteriores.
Por ejemplo, si un correo electrónico entrante parece legítimo, pero no tiene una firma digital válida del dominio legítimo (no pasa la comprobación DKIM), pasa a cuarentena. Incluso si los atacantes secuestran una cuenta de correo electrónico legítima y la utilizan para enviar correos electrónicos maliciosos, ESET Cloud Office Security puede reconocer la amenaza porque la dirección IP adjunta al servidor de correo electrónico es diferente de la que aparece en el registro SPF (no pasa la verificación SPF).
- Protección anti-homoglifos – una función que identifica dominios de correo electrónico maliciosos que pretenden ser legítimos mediante la sustitución de letras con caracteres similares o letras de otros alfabetos. Las empresas protegidas por ESET Cloud Office Security pueden establecer reglas para recibir solo aquellos correos electrónicos con nombres de dominio escritos correctamente. Esta función reconocería el nombre de dominio falso "℮s℮t.com" porque el símbolo de estimación "℮" tiene un unicode diferente al de la letra del alfabeto "e".
- Email Clawback – esta función simplifica la gestión de los correos electrónicos en cuarentena. Los usuarios pueden poner en cuarentena fácilmente cualquier correo electrónico sospechoso y restaurarlo con una acción de un solo clic en caso de que el correo electrónico resulte ser legítimo. .
- Panel de control mejorado – el panel de seguridad de ESET Cloud Office proporciona información crucial sobre el número total de usuarios protegidos, el uso de licencias, los usuarios que son los mayores destinatarios de correo electrónico de spam, maliciosos y de phishing, y las cuentas o grupos/sitios de OneDrive, Google Drive, SharePoint y Teams más sospechosos. Los administradores también pueden ver detecciones de Exchange Online, Gmail, OneDrive, Google Drive, SharePoint y Teams con correo no deseado, malware y suplantación de identidad (phishing). El panel mejorado viene con pestañas y componentes totalmente personalizables para adaptarse a las necesidades específicas de los administradores o diferentes tipos de empresas, como las pequeñas y medianas, proveedores de servicios administrados y grandes organizaciones. El tablero actualizado también contiene nuevos elementos y mejora visualmente los elementos existentes.
El foco en el premio
Con los actores de amenazas mejorando constantemente sus técnicas de phishing, las posibilidades de que los empleados reconozcan los correos electrónicos maliciosos se están reduciendo a pesar de la disponibilidad de cursos de concienciación sobre ciberseguridad. Para mitigar con éxito estas amenazas, las empresas necesitan herramientas de ciberseguridad avanzadas capaces de detectar correos electrónicos maliciosos que a veces pueden ser indiferenciablesde los legítimos.
ESET Cloud Office Security se ocupa tanto de la suplantación de identidad de correo electrónico como de los ataques de homoglifos, bloqueándolos antes de que lleguen a los empleados objetivo. De esta manera, las empresas pueden evitar posibles pérdidas financieras y de reputación o interrupciones operativas.