Ser un ciberdelincuente es un negocio rentable. En más del 90 % de los incidentes de ciberseguridad, el phishing es la causa principal de los ataques. Durante esta tercera semana de agosto se registraron ataques de phishing contra las elecciones estadounidenses, en el conflicto geopolítico entre Estados Unidos, Israel e Irán, que originaron pérdidas de 60 millones de dólares a las empresas.
Podrías pensar que después de 30 años en los que el correo electrónico ha sido el principal vector de ataque y riesgo no podemos hacer nada al respecto, pero eso sería reconocer el crédito de los ciberdelincuentes, y no comprender cómo las soluciones de detección pueden tomar el control y ganar.
El phishing no tiene que ver exclusivamente con el correo electrónico, ni con ningún protocolo específico. En pocas palabras, es un intento de conseguir que un usuario, como tú o como yo, realice una acción que, sin querer, tiene consecuencias graves. Estos ataques funcionan porque parecen auténticos, visualmente o desde el punto de vista organizativo, como hacerse pasar por el consejero delegado o el director financiero de tu empresa. Cuando lo analizas, son tres los principales vectores de ataque que Cloudflare ha observado que tienen más impacto en los correos electrónicos maliciosos de los que protegemos a nuestros clientes: 1. Hacer clic en enlaces (los enlaces dudosos suponen el 35,6 % de los indicadores de amenaza). 2. Descargar archivos o malware (los archivos adjuntos malintencionados representan el 1,9 % de los indicadores de amenaza). 3. Ataques al correo electrónico empresarial (BEC) mediante técnicas de phishing, por las que se obtiene dinero o propiedad intelectual sin enlaces ni archivos (0,5 % de los indicadores de amenaza).
En la actualidad, Cloudflare ha observado un incremento de lo que hemos denominado phishing multicanal. ¿Qué otros canales hay para enviar enlaces, archivos y lanzar ataques BEC? Están los SMS (mensajes de texto) y las aplicaciones de mensajería pública y privada, que son vectores de ataque cada vez más comunes que aprovechan la capacidad de enviar enlaces a través de esos canales, y también la forma en que las personas consumen información y trabajan. Está la colaboración en la nube, donde los atacantes recurren a enlaces, archivos y ataques BEC en herramientas de colaboración de uso común como Google Workspace, Atlassian y Microsoft Office 365. Y, por último, está el phishing web y social dirigido a personas en LinkedIn y X. En última instancia, cualquier intento de detener el phishing debe ser lo suficientemente exhaustivo como para detectar y proteger contra estos vectores diferentes.
Más información sobre estas tecnologías y productos aquí
Ejemplo real
Una cosa es contártelo, pero nos encantaría que vieras un ejemplo de cómo un atacante sofisticado materializa el phishing multicanal.
A continuación, te mostramos un mensaje de correo electrónico que un directivo ve en su carpeta de correo no deseado, porque nuestro producto Email Security detectó algo extraño y lo movió allí. Sin embargo, está relacionado con un proyecto en el que está trabajando, por lo que el directivo cree que es legítimo. Hay una solicitud de un organigrama de la empresa, y el atacante sabe que este es el tipo de cosas que se van a detectar si continúan en el correo electrónico, por lo que incluyen un enlace a un formulario real de Google:
El directivo hace clic el enlace y, como se trata de un formulario legítimo de Google, muestra lo siguiente:
Hay una solicitud para cargar el organigrama aquí, y eso es lo que intentan hacer:
El directivo lo arrastra, pero no termina de cargarse porque en el documento hay una marca de agua "solo para uso interno" que nuestras soluciones Gateway y de prevención de pérdida digital (DLP) detectaron, lo que a su vez impidió la carga.
Los atacantes sofisticados utilizan la urgencia para obtener mejores resultados. En este caso, el atacante sabe que el directivo tiene una fecha límite próxima para que el consultor informe al consejero delegado. Ante la incapacidad de cargar el documento, responden al atacante. El atacante sugiere probar otro método de carga o, en el peor de los casos, enviar el documento por WhatsApp.
El directivo intenta cargar el organigrama en el sitio web que se le proporcionó en el segundo correo electrónico, sin saber que este sitio habría cargado malware, pero como se cargó usando la función de aislamiento de navegador de Cloudflare, el dispositivo del directivo se mantuvo protegido. Lo que es más importante, al intentar cargar documentos confidenciales de la empresa, la acción se detiene de nuevo:
Por último, prueban WhatsApp y, de nuevo, lo bloqueamos:
Facilidad de uso
La configuración y el mantenimiento de una solución de seguridad es fundamental para la protección a largo plazo. Sin embargo, tener equipos de administración informática ajustando constantemente cada producto, configuración y supervisando las necesidades de cada usuario no solo es costoso sino también arriesgado, ya que supone una gran cantidad de gastos generales para estos equipos.
Proteger al directivo del ejemplo anterior solo requirió cuatro pasos:
Instalación e inicio sesión en el agente de dispositivo de Cloudflare para garantizar la protección.
Con solo unos clics, cualquier usuario con el cliente de agente de dispositivo puede estar protegido contra el phishing multicanal, lo que facilita la vida a los usuarios finales y los administradores. Para las organizaciones que no permiten la instalación de clientes, también está disponible la implementación sin agente.
2. Configuración de políticas que se apliquen a todo el tráfico de tus usuarios enrutado a través de nuestra puerta de enlace web segura. Estas políticas pueden bloquear directamente el acceso a sitios de riesgo elevado, como los que se sabe que participan en campañas de phishing. En cuanto a los sitios que pueden ser sospechosos, como los dominios recién registrados, el acceso aislado del navegador permite a los usuarios acceder al sitio web, pero limita su interacción.
El directivo tampoco pudo cargar el organigrama en un servicio gratuito de almacenamiento en la nube porque su organización utiliza Gateway y la función de aislamiento de navegador de Cloudflare One. Estas herramientas estaban configuradas para cargar cualquier sitio web gratuito de almacenamiento en la nube en un entorno remoto aislado, que no solo impidió la carga, sino que también eliminó la capacidad de copiar y pegar información.
Además, aunque el directivo pudo comunicarse con el ciberdelincuente a través de WhatsApp, sus archivos se bloquearon gracias a la solución Gateway de Cloudflare One, configurada por el administrador para bloquear todas las cargas y descargas en WhatsApp.
3. Configuración de políticas de protección de pérdida de datos (DLP) basadas en lo que no se debe cargar, escribir o copiar y pegar.
El directivo no pudo cargar el organigrama en el formulario de Google porque la organización utiliza las soluciones Gateway y DLP de Cloudflare One. Esta protección se implementa configurando Gateway para bloquear cualquier infracción de DLP, incluso en un sitio web válido como Google.
4. Implementación de Email Security y configuración de reglas de movimiento automático basadas en los tipos de correos electrónicos detectados.
En el ejemplo anterior, el directivo nunca recibió ninguno de los numerosos correos electrónicos maliciosos que se le enviaron porque la seguridad del correo electrónico de Cloudflare protegía su bandeja de entrada. Los correos de phishing que llegaron se incluían en su carpeta de correo no deseado porque el correo suplantaba a alguien que no coincidía con la firma del correo electrónico, y la configuración en Email Security lo movía automáticamente allí debido a una configuración de un solo clic establecida por el administrador informático del directivo.
Pero incluso con las mejores detecciones de su clase, no hace falta decir que es importante tener la capacidad de analizar cualquier métrica para conocer a los usuarios que se están viendo afectados por un ataque en curso. A continuación, mostramos una simulación de nuestro panel de control, que hemos mejorado, para la supervisión de la seguridad del correo electrónico.
¿Y ahora qué?
Si bien el phishing, a pesar de existir desde hace tres décadas, sigue siendo un peligro claro y presente, las detecciones efectivas en una solución integral y eficaz son realmente la única forma de mantenerse protegido en la actualidad.
Si estás pensando en comprar soluciones de seguridad del correo electrónico por sí solas, puedes ver por qué no es una medida suficiente. La protección multicapa es absolutamente necesaria para proteger a los usuarios modernos, porque el trabajo y los datos no solo se encuentran en el correo electrónico. Están en todas partes y en todos los dispositivos y, por tanto, tu protección contra el phishing también debe estarlo.
Aunque puedes recurrir a varios proveedores, no todos funcionarán juntos. Además del coste, un enfoque multiproveedor también suele aumentar los gastos generales de investigación, mantenimiento y uniformidad para los equipos informáticos que ya están al límite.
Tanto si estás al principio de tu recorrido con Cloudflare como si no, puedes ver cómo las diferentes soluciones del conjunto de productos de Cloudflare One pueden ayudarte de forma integral con el phishing. Y si ya estás avanzado en tu recorrido con Cloudflare, y buscas soluciones de detección del correo electrónico con una eficacia del 99,99 % en las que confíen empresas de la lista Fortune 500, organizaciones internacionales e incluso entidades gubernamentales, puedes ver cómo nuestra solución Email Security puede ayudarte.
Si utilizas Office 365 y te gustaría comprobar qué podemos detectar que tu proveedor actual no puede, puedes empezar ahora mismo con Retro Scan.
Y si ya utilizas nuestra solución Email Security, puedes obtener más información sobre nuestra protección integral aquí.