Con un aumento del 156% en las estafas de phishing relacionadas con Microsoft, los atacantes utilizan cada vez más herramientas comerciales familiares para evitar la seguridad y comprometer a las organizaciones. Marc OlesenCEO de Cofense, explica por qué las empresas deben actuar ahora para mantenerse por delante de la amenaza
Las empresas modernas dependen de una variedad de software de confianza para mantener operaciones simplificadas. Desde herramientas de gestión de recursos empresariales hasta plataformas de colaboración en la nube, estas soluciones se han vuelto integrales a las funciones diarias. Sin embargo, esta dependencia viene con un borde oscuro. Los actores de amenaza cibernética están explotando cada vez más estas herramientas de confianza para violar las organizaciones, aprovechando su legitimidad y su adopción generalizada como un arma poderosa.
Este aumento alarmante destaca cómo los ciberdelincuentes están adaptando constantemente sus tácticas para explotar los usuarios de la confianza en marcas bien conocidas como Microsoft. El gigante estadounidense ha sido identificado por Cofense La inteligencia como la marca más frecuentemente falsificada, con un asombroso aumento del 156% en la actividad de suplantación de 2023 a 2024. Este aumento interanual en la suplantación de la marca indica la necesidad de que las organizaciones dupliquen sus medidas de seguridad de correo electrónico y programas de capacitación de usuarios. Al imitar interfaces familiares y aprovechar la credibilidad de este nombre familiar, estas campañas de phishing se han vuelto cada vez más sofisticadas, lo que hace que sea más difícil para los empleados detectar correos electrónicos maliciosos.
Un buen ejemplo de esto es una campaña de phishing reciente que explota la creciente familiaridad con el asistente de IA de Microsoft, Copilot. Los analistas del Cofense Phishing Defense Center (PDC) identificaron este ataque, en el que los actores de amenaza enviaron correos electrónicos falsificados que parecían originarse en Microsoft Copilot, informando a los usuarios de una factura o requisito de pago. Dado que el copiloto es un servicio relativamente nuevo, los usuarios pueden estar seguros de sus prácticas de facturación, lo que los hace más susceptibles a tales estafas. El correo electrónico contenía un enlace que conducía a una página de inicio de sesión de Microsoft falsificada, completa con elementos de marca y diseño para mejorar la credibilidad. Después de ingresar a sus credenciales, los usuarios fueron dirigidos a una página falsa de autenticación multifactor (MFA), proporcionando a los atacantes tiempo adicional para explotar la información robada. Esta campaña subraya la necesidad de educación del usuario con respecto a los nuevos servicios y la importancia de verificar la autenticidad de las comunicaciones inesperadas.
Otro ataque identificado por el Cofense PDC involucró un correo electrónico que se hizo pasar por un recordatorio de eliminación de archivos de un servicio legítimo de intercambio de archivos, como Files.fm. El correo electrónico instó a los destinatarios a tomar medidas inmediatas para evitar la eliminación de archivos importantes. Al hacer clic en el enlace proporcionado, dirigió al usuario a un archivo legítimo. Página FM que aloja un documento PDF aparentemente inofensivo. Una vez que se abrió el PDF, se le presentó al usuario dos opciones: “Vista previa” y “Descargar”. Cada opción condujo a un vector de ataque diferente:
Avance: Seleccionar esto redirige al usuario a una página de inicio de sesión de Microsoft falsificada diseñada para cosechar credenciales de Office 365.
Descargar: Esto inicia la descarga de un archivo ejecutable malicioso disfrazado de un instalador legítimo de Microsoft. La ejecución de este archivo instala el Trojan de acceso remoto de Connectwise (RAT), otorgando a los atacantes el acceso no autorizado al sistema del usuario.
Este ataque es una evidencia adicional de los atacantes que se dirigen cada vez más a las herramientas de trabajo ampliamente utilizadas, convirtiendo nuevas tecnologías como la IA generativa en posibles vectores de ataque. Las consecuencias de tales exploits se extienden mucho más allá de las pérdidas financieras o las sanciones regulatorias. Las infracciones derivadas del software de confianza atacan el tejido fundamental de la confianza y confiabilidad empresarial. Los socios pueden comenzar a cuestionar la capacidad de una organización para salvaguardar los datos críticos, mientras que los clientes pueden dudar en continuar participando en transacciones con sistemas comprometidos.
Mientras los atacantes se vuelven más audaces, las organizaciones aún tienen herramientas para combatir estas amenazas. La proactividad debe reemplazar las estrategias reactivas para mitigar los riesgos vinculados al software comercial de confianza. Aquí hay medidas críticas para priorizar:
1. Actualizaciones de software de rutina
Los proveedores lanzan constantemente parches y actualizaciones para abordar las vulnerabilidades emergentes. Asegurar que su equipo aplique estos parches de inmediato puede cerrar oportunidades de explotación antes de la huelga del atacante. Cree un proceso dedicado para rastrear actualizaciones y hacer cumplir la implementación oportuna en todos los sistemas.
2. Educación de empleados
Los cibercriminales a menudo apostan por error humano para tener éxito. Las sesiones de capacitación regulares pueden educar a los empleados sobre las mejores prácticas, como reconocer los correos electrónicos de phishing, verificar la autenticidad de la actualización de software y cumplir con los protocolos de contraseña de Strong. Fortalecer su primera línea de defensa puede reducir drásticamente los riesgos de violación.
3. Adoptar un modelo de seguridad de confianza cero
Las arquitecturas de confianza cero funcionan bajo el supuesto de que ningún actor, sistema o conector es inherentemente confiable, incluso si es interno. Al verificar continuamente las identidades de los usuarios, monitorear el comportamiento y hacer cumplir el acceso de menos privilegios, las empresas pueden limitar hasta qué punto pueden moverse los atacantes si se produce una violación.
4. Evaluar la seguridad del proveedor
Evalúe sus proveedores y socios de software para su compromiso con la ciberseguridad. Pregunte sobre sus prácticas para obtener actualizaciones y administrar credenciales.
Las mismas herramientas que aumentan la productividad y la eficiencia pueden convertirse en el talón de Aquiles de una organización si no se manejan correctamente. Reconocer los riesgos asociados con el software de negocios confiable es la mitad de la batalla; La otra mitad radica en tomar medidas proactivas para mitigar este tipo de amenazas de phishing modernas.
Al implementar herramientas avanzadas de protección por correo electrónico, realizar simulaciones regulares de phishing y educar a su fuerza laboral para promover una cultura de conciencia de ciberseguridad, las organizaciones pueden alejar el equilibrio de poder de los actores de amenazas. Si bien ningún software es completamente inmune al ataque, una estrategia defensiva integral aumenta significativamente las probabilidades de mantenerse a la vanguardia. Las empresas que priorizan la protección poseen no solo sus datos, sino la confianza y la confianza de aquellos a quienes sirven. El momento de actuar es ahora. La creciente dependencia del software para impulsar el éxito empresarial no tiene que ser una trampa. Los equipos de TI y los líderes empresariales deben trabajar juntos para equilibrar la innovación con precaución, garantizar que las herramientas que se conecten y empoderen no nos conviertan en nuestra mayor debilidad.
Foto principal: Tima Miroshnichenko/Pexels