Seguridad
Estas son las 13 amenazas más peligrosas que las empresas reciben por correo electrónico
Las tácticas de los cibercriminales revisten cada vez mayor complejidad y van mucho más allá del “spam”, el “phishing” o el “malware”
Las empresas son el principal objetivo de los cibercriminales por razones obvias. Sacarle unos cientos de euros al ciudadano corriente no motiva tanto como la posibilidad de hacerse con unos cuantos millones, por lo que sus esfuerzos van dirigidos mayormente a penetrar la seguridad del sector empresarial, con una sofisticación y complejidad mucho mayor de la que se ve en el primer caso.
Así, cualquier ciudadano puede tener que preocuparse de spam (publicidad fraudulenta), phishing (suplantación de sitios) o malware (software malicioso) cuando abre su bandeja de entrada, pero no tiene por que hacerlo del BEC, un posible secuestro de conversaciones o una suplantación de identidad lateral, métodos más sofisticados que tienen como objetivo victimas mucho más aprovechables.
La firma de seguridad Barracuda Networks clasifica en sus informes sobre cibercrimen los 13 tipos de amenazas a las que se puede enfrentar las empresas y que se inician a través de un correo electrónico.
Ordenadas de menor a mayor complejidad, son las siguientes:
13) Spam
Conocido por todos, se trata de los mails con publicidad no deseada y a menudo fraudulenta. Es la forma más simple de engaño dentro de esta jerarquía y un poco cajón de sastre dado que se suele combinar con otras tácticas. Pero es algo de lo que habitualmente se encargan con eficacia los filtros del proveedor de correo.
12 ) Malware
Otro viejo conocido que habitualmente llega en la forma de archivo adjunto al mail recibido, aunque éste también puede contener un enlace que dirija al software malicioso. Puede ser de cualquier tipo y tener como objetivo el acceso al equipo, usarlo como puerta de entrada a una red, dañar sus archivos, interrumpir las operaciones o extraer información. Los principales tipos de malware que se reciben por correo son los que apuntan a URL´s maliciosas, los volumétricos diseñados para propagarse con rapidez en sistemas no parcheados usando vulnerabilidades comunes, y los de Día Cero o Zero Day que aprovechan fallos de software recién descubiertos para los que aún no hay solución.
11) Data Exfiltration
Se traduce como exfiltración de datos, pero se le conoce más como robo y es la transferencia no autorizada de datos de un equipo a otro. Puede tener lugar mediante acceso físico al ordenador o a través de procesos automatizados por programación maliciosa en Internet o en una red. Los ataques suelen ser selectivos, con el objetivo de acceder a una red o máquina para localizar y copiar datos específicos.
10) URL Phishing
En los ataques de suplantación de identidad, el objetivo es obtener información sensible (nombres de usuario, contraseñas, datos bancarios) dirigiendo desde el mail a una web falsa que suplanta a una entidad de confianza del receptor como un banco o una tienda online, entre otras.
9) Scamming
Aquí se trata de engañar a las víctimas para que revelen información personal a través de ofertas de empleo, oportunidades de inversión, notificaciones de herencias, premios de lotería, transferencias de fondos, etc.
8) Spear Phishing
Se distingue de todos los anteriores por ser un tipo de ataque muy personalizado que no se puede realizar sin tener información previa sobre la víctima mediante ingeniería social. Los criminales preparan los correos tras estudiar al objetivo para hacerse pasar por alguien conocido o una empresa o web de confianza y robar información sensible, credenciales de acceso o datos financieros que a su vez se utilizan para cometer otros fraudes a terceros.
7) Domain Impersonation
La suplantación de dominios suele formar parte de otro tipo de ataques, conversation-hijacking o secuestro de conversaciones, que viene más adelante en la lista. En este tipo de ataques se emplea una técnica conocida como typosquattingque consiste en engañar a la víctima con un dominio muy similar al legítimo, cambiando una o dos letras. Necesita de la compra del dominio fake y pueden tener un gran impacto si la falsificación de la web es buena.
6) Brand Impersonation
La suplantación de marca se puede llevar a cabo por mail (suplantación de servicio), muy popular, o secuestro de marca (Brand Highjacking) que se da cuando el atacante se está haciendo pasar por el empleado de una marca usando mails con un remitente typosquatted como en la suplantación de dominios del punto anterior.
5) Extortion
En las extorsiones, habitualmente de tipo sexual (sextortion), los atacantes utilizan nombres de usuario y contraseñas de la víctima, obtenidas de cualquiera de las múltiples filtraciones de datos que circulan por Internet, para chantajearla con un supuesto video comprometedor grabado desde su ordenador.
4) Business Email Compromise
También conocido como BEC y que vendría a significar mail de empresa comprometido. El atacante se hace pasar por un empleado de la empresa que es objetivo del fraude para estafar a otros empleados, clientes o asociados. Se utilizan tácticas de ingeniería social y cuentas comprometidas para engañar y que las víctimas realicen transferencias bancarias o revelen información sensible.
3) Conversation Hijacking
El secuestro de conversaciones se produce cuando un atacante se introduce en conversaciones comerciales ya existentes o inicia una nueva basándose en la información de otras cuentas de correo ya comprometidas. Esta táctica puede formar parte de un ataque de mayor envergadura de apropiación de cuentas y requiere de un estudio previo de las comunicaciones de la compañía para comprender el funcionamiento del negocio.
2) Lateral Phishing
Con la suplantación de identidad lateral, los criminales envían correos electrónicos de phishing desde cuentas recientemente secuestradas a contactos y socios cercanos a ésta. Al provenir de un contacto de confianza, la confianza de las víctimas en lo que se les muestra en mucho mayor y tienen un gran porcentaje de éxito.
1) AccountTakeover
La apropiación de cuentas se produce cuando un tercero consigue acceder a las credenciales de la cuenta de un usuario, algo que suele conseguirse mediante una combinación de suplantación de marca, phishing e ingeniería social. Una vez dentro de la cuenta, el atacante no impide su uso sino que monitoriza la actividad del negocio, sus firmas electrónicas y cómo gestionan las transacciones para organizar la estafa a la víctima.