Concienciación del usuario
Principales amenazas en un correo electrónico
Actualmente el correo electrónico sigue siendo una de las herramientas más utilizadas por cualquier entorno corporativo para el intercambio de información, a pesar de que en los últimos años han surgido multitud de tecnologías y herramientas colaborativas para facilitar la comunicación y el intercambio de ficheros. Sin embargo, al mismo tiempo, al ser una herramienta tan utilizada es también una de las fuentes más comunes de ataques y de introducción de malware en la empresa por parte de los ciberdelincuentes.
Programa malicioso o Malware
El malware, acrónimo inglés «Malicios Software» (Software Malicioso), es un virus que contiene una codificación programada para atacar y dañar datos, equipos técnicos o sistemas enteros.
Los troyanos, virus, spyware, gusanos, adware y botnets entre otros, son tipos de malware.
En la mayoría de los casos, el malware se envía por correo electrónico durante los ataques de phishing y spam. Durante un ataque, se envían múltiples correos electrónicos con virus haciéndose pasar por una empresa. Después de ser abierto, el malware infecta el sistema y le causa daños.
Suplantación de identidad o Phishing
La suplantación de identidad es cuando un atacante envía un correo electrónico fraudulento haciéndose pasar por otra persona u otra organización.
El objetivo de este correo es engañar al destinatario que instale malware en su dispositivo o comparta información personal o financiera.
Un ejemplo de Phishing es un correo electrónico falsificado similar al enviado por una tienda de conveniencia que solicita al usuario que haga clic en un enlace para reclamar un premio.
El enlace puede ir a un sitio falso que solicita información corporativa o personal o puede instalar un virus.
secuestro de datos o ransomware
Es un tipo específico de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos.
El ransomware puede infectar su ordenador de varias formas. Uno de los métodos más habituales actualmente es a través de spam malicioso, o malspam que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico.
El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.
ATAQUE DE INTERMEDIARIO O MAN IN THE MIDDLE (HOMBRE EN EL MEDIO)
Básicamente, consiste en una persona que es capaz de situarse en el medio de dos comunicaciones y robar la información que se envía.
Los atacantes pueden llevar a cabo diferentes tipos de ataques para lograr su objetivo. Siempre intentarán interceptar los mensajes pasando desapercibido.
Uno de los ejemplos más habituales y claros es cuando se utiliza un router Wi-Fi. En este caso el atacante lo que hace es crear una red en un ordenador u otro dispositivo malicioso para que aparezca legítima. De esta forma buscará interceptar toda la información que pase por él. Este es algo que suele estar presente en lugares muy concurridos. Por ejemplo, en aeropuertos, centros comerciales, estaciones de tren…
Otro ejemplo de MITM es el que se lleva a cabo en los navegadores. Lo que hacen los atacantes es insertar código malicioso en el sistema de la víctima y actúa como intermediario. El objetivo aquí es ir recopilando todos los datos que se introducen en el navegador, las páginas visitadas…
Las redes locales de las empresas (LAN) también son vulnerables a este tipo de ataques. En este caso, lo que hace el atacante es acceder a la LAN y engañar a los equipos de la red local haciéndoles creer que es un dispositivo legítimo de la misma y forzando a que todo el tráfico generado pase a través del dispositivo malicioso.
A través del correo electrónico podría llevarse a cabo un ataque de este tipo. Podrían, por ejemplo, enviar un documento haciéndose pasar por la otra parte simplemente para obtener información sobre un tema determinado.
Buenas prácticas en el uso del correo electrónico
Tras conocer las técnicas de engaño más utilizadas por los atacantes resultará más sencillo para el usuario comprender el porqué de las diversas recomendaciones de seguridad que se describirán a continuación.
Formación y concienciación
La concienciación, el sentido común y las buenas prácticas en el uso del correo electrónico constituyen el primer paso para prevenir y detectar este tipo de incidentes.
Identificación de correos electrónicos
Sin duda alguna, el consejo más eficaz para identificar correos electrónicos dañinos es el sentido común. Esto significa que cualquier síntoma o patrón fuera de lo considerado normal o habitual debe despertar la sospecha del usuario.
Un patrón o síntoma irregular puede significar: recibir un correo de un remitente no conocido, recibir un correo que solicite datos bancarios, etc.
Por ejemplo, un email electrónico remitido por una compañía de confianza que presente un asunto o solicitud poco habitual y en el que se adjunte algún fichero o enlace, debe generar cierta desconfianza por parte del usuario. Ante este escenario, lo más recomendable, antes de abrir cualquier adjunto, es contactar con el supuesto remitente utilizando otra vía de contacto diferente, por ejemplo, teléfono, SMS, otro email, etc. De este modo se podrá corroborar si el correo recibido es legítimo o no.
Verificación del remitente
No confíe únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. (fran@dominio.com)
Comprobación de los archivos descargados
Los atacantes pueden utilizar iconos de aplicaciones conocidas (Adobe, Word, Excel…) para disimular la verdadera naturaleza de los archivos. Antes de abrir cualquier fichero descargado desde el correo, asegúrese de la extensión de este. Si el usuario no tiene la opción «Ocultar las extensiones de archivo para tipos de archivos conocidos» desactivada puede ser víctima del engaño y ejecutar el mismo pensando que se trata de un fichero inofensivo. Es importante que el usuario no ejecute ningún fichero cuya extensión sea extraña o desconocida.
Actualización del sistema operativo y de las aplicaciones
Se recomienda disponer de un sistema operativo actualizado. Las aplicaciones ofimáticas, así como el navegador y cada uno de sus componentes (plugins o extensiones) deben de estar actualizados también a la última versión.
Uso de autenticación de varios factores
En caso de que consigan robar credenciales de una cuenta de correo electrónico corporativo o personal, la autenticación de varios factores puede impedir que un atacante obtenga acceso a la cuenta y cause daños.
Supongamos que alguien logra obtener sus credenciales de inicio de sesión o las de alguien en su red, e intenta iniciar sesión. Con la autenticación de varios factores, se envía automáticamente un mensaje al usuario que posee las credenciales para verificar si acaba de intentar iniciar sesión. En esta situación, al darse cuenta de que no intentó iniciar sesión, el usuario niega la solicitud de inmediato. Esto frustra el ataque con éxito.
Instalación de aplicaciones antimalware y activar los filtros antispam
Es necesario que la empresa disponga de una solución antimalware empresarial que, en otras tareas, escanee los correos electrónicos que reciban los empleados.
Muy probablemente, dicha aplicación disponga de un filtro antispam que impida que los correos sospechosos de ser correo basura, spam, lleguen al buzón de correo electrónico de los empleados. Este filtro debe estar activado y configurado, y revisarse de forma continua.
De esta manera, se evita que el usuario tome la decisión de abrir archivos adjuntos o que haga clic en enlaces potencialmente peligrosos para él y para la empresa.
Uso de contraseñas seguras
Para garantizar la seguridad de una contraseña, ésta debe tener más de 8 caracteres e incluir mayúsculas, minúsculas y letras o símbolos. En caso contrario nos arriesgamos a que cualquier persona, utilizando alguna de las herramientas existentes para este fin, nos descubra la contraseña y acceda a nuestros correos.
La política de seguridad de la empresa debe exigir que el empleado utilice siempre contraseñas robustas y las cambie periódicamente.
Realización de copias de seguridad
No existe otra alternativa en caso de infección de código malicioso tipo ransomware, pérdida de datos, averías del hardware de almacenamiento, borrado de información involuntaria por parte del usuario, etc.
Hay dos formas de hacer que el Ransomware o CryptoLocker (variante del ransomware en la cual el software malicioso a menudo cifra los archivos de un usuario y elimina la copia original) no acceda a las copias de seguridad:
- Realizar las copias en un dispositivo al que los usuarios de la red no tengan acceso. Con credenciales no almacenadas localmente.
- Realizar copias de seguridad en la nube.
Uso de firewall adecuado
También resulta vital contar con un firewall o cortafuegos empresarial adecuado, capaz de escanear todo el tráfico independientemente del tamaño de los archivos.
Según el informe de Sonic Wall (proveedor de cortafuegos), dado el rápido aumento del tráfico cifrado mediante SSL (protocolo criptográfico para comunicaciones seguras por red), siempre existe el riesgo de descargar malware cifrado invisible para los firewalls tradicionales. Por este motivo es tan importante asegurarse de que el firewall sea capaz de descifrar e inspeccionar el tráfico cifrado sin ralentizar considerablemente la red.
Protección de la red wi-fi de la empresa
Es importante proteger la LAN asegurando como mínimo la red en modo WPA2-AES (protocolo seguro para proteger el acceso a la red Wi-Fi) con contraseñas robustas y no adivinables, así evitaremos que los atacantes puedan colarse en la red local. Si es necesario que los clientes se conecten a una red en nuestra empresa, habilitar una red de invitados con acceso restringido a la red corporativa y servicios de la empresa.
Algunas campañas reales
Envío masivo de correos electrónicos maliciosos que intentaron suplantar la identidad del Ministerio de sanidad
En 2020, el Ministerio de Sanidad informó de que se detectó una campaña de envío masivo de correos electrónicos maliciosos que intentaron suplantar la identidad del Ministerio de Sanidad mediante la duplicación de la imagen corporativa y el uso de dominios de correos inexistentes, como @mscbs.gob.es. Estos correos contuvieron información relacionada con términos como el coronavirus, el COVID-19, Estado de Alarma y otros.
Hay que tener en cuenta que desde el Ministerio de Sanidad no se envían correos desde el dominio @mscbs.gob.es, por lo que todas las direcciones de correo procedentes de ese dominio eran falsas, por ejemplo, aviso@mscbs.gob.es, covid@mscbs.gob.es, etc.
campaña masiva de correos maliciosos de tipo phishing que suplantan al servicio de carrefour pass
La nueva estafa que está surgiendo últimamente es la que está relacionada con el supermercado Carrefour. Los delincuentes envían un correo electrónico haciéndose pasar por Carrefour, en el texto del mensaje nos dirán que nuestra tarjeta «PASS» se encuentra temporalmente suspendida. Para reactivar este servicio nos dirán que es necesario acceder a un enlace e introducir nuestros datos personales.
No obstante, no se descarta que puedan estar circulando otros mensajes que utilicen pretextos similares o incluso distintos con el fin último de que el usuario acceda al enlace fraudulento.
En líneas generales, todos los correos alertan al usuario sobre supuestos problemas en la tarjeta y para solucionarlo es necesario que pulse en el enlace fraudulento facilitado.
Estos correos van dirigidos a cualquier usuario que sea cliente de Carrefour, tenga contratada la tarjeta financiera PASS y potencialmente pueda acceder al enlace y pueda introducir sus datos en el formulario de la web falsa.
Testimonios (fuente incibe)
El ciberdelincuente le «pescó» por su falta de formación
Nuestra historia real nos cuenta la experiencia de Alfredo, un empleado muy eficiente pero que por su carencia en formación en seguridad «metió la pata».
Alfredo lleva 30 años trabajando como administrativo en la misma empresa de venta de recambios para automóviles. Se trata de una empresa pequeña por lo que Alfredo es como de la familia, siempre ha sido elogiado por su buen hacer en el trabajo y cuenta con todo el apoyo y la confianza de sus jefes.
Cuando Alfredo empezó a trabajar en la empresa toda la información se gestionaba en papel y con la aparición de las nuevas tecnologías fue formándose para adaptarse a las exigencias que su puesto requería. Gracias a su empeño y constancia Alfredo consiguió que el ordenador y la ofimática formaran parte de su día a día como si lo hubiera hecho durante toda su vida.
Puesto que Alfredo es uno de los empleados con mayor antigüedad de la empresa, es el que se encarga de que estén al día todos los cobros y pagos de las facturas, algo que para él es como «coser y cantar».
Una mañana de lunes como otra cualquiera, Alfredo estaba revisando su correo cuando recibió un mensaje de la compañía eléctrica contratada por la empresa que le informaba de un error en el cobro de la última factura y de que tenía pendiente una devolución. Alfredo se dispuso a solicitar el reembolso del dinero, pensó que mejor hacerlo cuanto antes puesto que cuando su jefe viera las cuentas sería mejor que el error estuviera subsanado. En el mensaje del correo se encontraba una dirección en la que al hacer clic te dirigía a una página web donde solicitaba las credenciales de la cuenta de la empresa. Una vez introducidas las credenciales, Alfredo solo tenía que introducir los datos de la tarjeta bancaria vinculada a la empresa para que se realizara el reembolso. «Qué fácil- pensó Alfredo satisfecho- ahora ya puedo ir a tomar mi café de media mañana».
Con las pilas recargadas, Alfredo se sentó en su mesa a continuar su jornada cuando recibió una llamada de su jefe. No se imaginaba un asunto tan grave, la llamada de su jefe le alertaba de un cargo no identificado en la tarjeta de la empresa de 5000 euros. Alfredo, alarmado, le prometió a su jefe un informe con todos los detalles bancarios y una explicación para dicho movimiento fraudulento.
¿Qué fue lo que pasó realmente?
Alfredo fue víctima de un correo fraudulento conocido como phishing en el que en este caso el objetivo es «pescar» los datos bancarios de la empresa para realizar un cargo en dicha cuenta.
El principal error del trabajador fue no percatarse de que la dirección que aparecía en el correo electrónico no le dirigía a la web legítima de la compañía eléctrica, cayendo así en la trampa.
Puesto que Alfredo es un trabajador con muchos años de experiencia, supo ver la relación de los hechos y encajó las piezas. El cargo de los 5000 euros estaba relacionado con la devolución de la factura de la compañía eléctrica. Se puso en contacto con dicha compañía para confirmar el fraude y acto seguido lo notificó a la entidad bancaria y denunció el hecho a las Fuerzas y Cuerpos de Seguridad del Estado.
Debido a que Alfredo carecía de formación en seguridad, desconocía la existencia de este tipo de correos y ni se imaginaba que pudiera pasar en una empresa como la suya.
¿Qué podemos hacer para que no nos suceda?
La formación en seguridad de los empleados es tan importante como las medidas de seguridad que implementamos en nuestras empresas. Los empleados que desconozcan las políticas de seguridad de la empresa y cómo proteger su puesto de trabajo serán víctimas fáciles de los ciberdelincuentes, sobre todo en casos de phishing e ingeniería social.
Ya lo sabes, si quieres proteger tu empresa, apuesta por la formación de tus empleados. Invertirás en valor seguro.
Suplantaron a mi jefe y nuestro dinero desapareció
La proximidad a las vacunas contra el COVID-19 ha hecho que el trabajo en la empresa farmacéutica donde trabaja Alicia se haya intensificado sensiblemente. Son muchas las horas extra, reuniones, documentación, etc., que han tenido que llevar a cabo todos los empleados. Alicia, responsable del equipo financiero de la empresa, y su equipo estaban habituados a recibir órdenes de los directivos mediante correo electrónico y otros sistemas internos, ya que las reuniones con clientes y proveedores los habían obligado a ausentarse de la sede.
Un día Alicia recibió un correo de su CEO, en el que le informaba de que estaba cerrando una importantísima operación crucial para la empresa, ya que de esta dependía la elaboración de una de las vacunas para el COVID-19. En dicho correo, el CEO informaba a Alicia también de que recibiría las órdenes de pago de una empresa auditora vinculada con el proveedor y que mantuviera la operación de forma confidencial. A Alicia no le sorprendió el correo, ya que era costumbre en los últimos meses recibir las órdenes por esta vía. Además, el hecho de que la instara a mantener la confidencialidad no era de extrañar porque las grandes operaciones son muy sensibles y cualquier error puede llevarlas al traste. Alicia respondió al correo diciéndole a su CEO que contara con ella y que mantendría el secreto.
Al día siguiente Alicia, en efecto, recibió un correo proveniente de una empresa auditora reconocida a nivel mundial, en el que se le solicitaba el pago de una importante cantidad de dinero. Para ello, se facilitaba adjunta al correo la orden de pago con toda la información necesaria. Puesto que Alicia ya había recibido por parte de su CEO la orden de que ejecutara la operación, no lo dudó, contactó con su entidad bancaria y ordenó hacer la transferencia de la cantidad indicada al número de cuenta facilitado. Una vez hecho, Alicia respondió al correo de la empresa auditora, facilitando el comprobante de la transferencia, y poco tiempo después recibió el comprobante de la operación.
Durante los siguientes días Alicia recibió nuevas facturas de la empresa auditora por importes similares a la primera operación, por lo que realizó las transferencias oportunas, recibiendo por cada una de ellas la factura correspondiente.
Después de la última transferencia Alicia decidió ponerse en contacto con el CEO de la compañía, indicándole que, debido a las últimas transferencias realizadas en relación a la operación confidencial que le ordenó la empresa, estaba quedándose sin liquidez para abordar otras operaciones necesarias. El CEO extrañado le indicó que él no había ordenado ninguna nueva operación confidencial. En ese instante ambos se dieron cuenta de que habían sido víctimas de un fraude.
¿Cómo se urdió la trama fraudulenta?
Los ciberdelincuentes son conscientes de que las empresas pertenecientes al sector farmacéutico están viviendo una época de gran volumen de trabajo, debido a la urgencia por elaborar las vacunas contra el COVID-19. Por este motivo, son un objetivo potencialmente muy rentable para las organizaciones delictivas.
Los ciberdelincuentes comenzaron analizando la web corporativa y todas las redes sociales asociadas a la empresa, con el objetivo de elaborar un organigrama lo más detallado posible de los miembros de la organización. Analizando los sistemas pertenecientes a la compañía descubrieron varias direcciones de correo electrónico de sus empleados. Teniendo esta información no les resultó complicado conseguir el correo de Alicia, la responsable del equipo financiero, tal y como figuraba en su perfil de LinkedIn, ya que todos los correos de los empleados estaban formados por «nombre.apellido@compañia.com».
El siguiente paso consistía en contactar con un empleado de la compañía alegando cualquier excusa, como solicitar información sobre algún producto o servicio, cuyo objetivo era obtener un correo legítimo de la empresa para tomarlo como plantilla para lanzar el ciberataque. De esta forma, obtendrían la firma del correo y cualquier otro elemento distintivo que dotaría de más veracidad a la comunicación fraudulenta.
El siguiente paso consistía en comprar un nombre de dominio similar al legítimo de la empresa, técnica conocida como cybersquatting. Suponiendo que el dominio de la empresa es «farmacia.com», los ciberdelincuentes compraron el nombre de dominio «farnacia.com». Esta misma técnica la utilizaron para comprar un nombre de dominio parecido al de la empresa auditora.
Una vez obtenida la estética del correo, la identidad del alto directivo al que suplantarían, el empleado con capacidad para llevar a cabo operaciones financieras y los nombres de dominios fraudulentos, llega el momento de lanzar la campaña fraudulenta. Los ciberdelincuentes, utilizando la estética del correo obtenida anteriormente y el dominio fraudulento que suplanta al de la compañía, junto con el nombre y apellido del directivo, enviaron un correo a Alicia, responsable del área financiera. Una de las principales características de este tipo de fraudes es que piden a su destinatario que mantenga la confidencialidad y no se lo comunique a ningún otro empleado.
El siguiente paso consiste en suplantar a la empresa auditora y valerse de su reputación para solicitar el pago. Para ello, utilizan, igual que para suplantar al alto directivo, la estética legítima, tanto para el correo como para las facturas. Una vez que han recibido la primera transferencia fraudulenta, seguirán solicitando nuevas transferencias hasta que su destinatario se dé cuenta del engaño.
¿Cómo identificar un ataque de fraude del CEO?
El ciberataque sufrido por la empresa de Alicia se denomina fraude del CEO o whaling. En este tipo de ataques los ciberdelincuentes suplantan a un alto directivo de una compañía y, valiéndose de la confianza de sus empleados, les fuerza a realizar transferencias bancarias. Para identificar este tipo de ataques es recomendable seguir las siguientes pautas:
Verificar las peticiones de envío de fondos por un canal alternativo. La vía más eficaz para evitar este tipo de fraudes es verificar la solicitud por un canal alternativo, como puede ser una llamada telefónica, un mensaje instantáneo o cualquier otra herramienta colaborativa.
Comprobar la dirección del remitente. Es clave verificar que la dirección del remitente es correcta, ya que los ciberdelincuentes utilizan nombres de dominio parecidos al legítimo. El cambio de una sola letra es suficiente para que el nombre de dominio sea distinto y pueda engañar a las potenciales víctimas. Una forma de protección activa frente a este tipo de suplantaciones consiste en monitorizar regularmente los nombres de dominio comprados que sean parecidos al de la empresa, tal y como se indica en el siguiente artículo:
Aprende a detectar el cybersquatting contra tu marca
Comprobar la forma de expresión y ortografía del mensaje. Cuando se trata habitualmente por correo con alguien, se aprende a distinguir expresiones, frases hechas, despedidas, etc. de la persona en particular. La ausencia de estas no tiene por qué significar que el mensaje sea fraudulento, pero es un síntoma que no debe pasarse por alto.
Firmas y estética del correo. Comprobar que la estética del correo es la adecuada también servirá para distinguir correos legítimos de aquellos que pueden ser fraudulentos. Se debe comprobar el tipo de letra, imágenes, logotipos, firmas, direcciones de correo o puesto en la empresa, así como cualquier otro elemento que siempre se mantenga igual en las comunicaciones.
Precaución con los enlaces y archivos adjuntos. Como ante cualquier mensaje con enlaces o ficheros adjuntos, se debe tener precaución, ya que estos pueden dirigir a sitios web fraudulentos que contienen malware. Los archivos adjuntos o descargados de webs externas deben verificarse con una herramienta antivirus antes de ejecutarse, y ante la menor duda, es conveniente preguntar al remitente, utilizando una vía alternativa. Lo mismo sucede con los enlaces a páginas web externas, se debe verificar que no sean fraudulentos. Para ello, se pueden utilizar herramientas en línea como VirusTotal o MetaDefender, y en caso de duda, habrá que preguntar al remitente.
Acerca de nosotros
Durante sus más de 17 años de historia, AlTec ha sido el partner de seguridad de confianza del sector. Desde la seguridad de red, pasando por la seguridad de acceso, hasta la seguridad del correo electrónico, AlTec ha desarrollado continuamente su cartera de productos para ayudar a las organizaciones a innovar, a acelerar y a crecer. Con más de 3.000 dispositivos y usuarios gestionados.
Si tiene alguna pregunta o duda en relación con este material, póngase en contacto con:
AlTec Informatica · Calle Azorín, 10 · 04005 · Calle Profesor López Neyra, 3 · 04005 · Almería en el teléfono 950 268 167, correo comercial@al-tec.es o consulte directamente con su comercial.