Aunque el correo electrónico sigue siendo el principal vector de amenazas, el espacio actual de trabajo se ha ampliado incluyendo herramientas de colaboración y relaciones con proveedores de las que se aprovechan los ciberdelincuentes. El factor humano se ha convertido así en el eslabón más vulnerable de la organización en cuanto a ciberdefensa. Por eso, la empresa de ciberseguridad y cumplimiento normativo Proofpoint defiende un enfoque holístico para proteger a los usuarios en el cambiante entorno digital.

Un grupo de ciberdelincuencia funciona de manera muy parecida a una empresa: organizada, paciente y con mucha experiencia. No confíes en las victorias rápidas; juegan a largo plazo, sabiendo que una cuenta comprometida puede desbloquear un valioso acceso a sistemas sensibles, datos financieros y redes corporativas. En el punto de mira suele estar una empresa cuyos empleados, socios y clientes se comunican y colaboran a través de múltiples canales, como Slack, Teams, SMS y Zoom, al igual que en la mayoría de las organizaciones de hoy.

«Los atacantes están explotando las plataformas de mensajería, las aplicaciones en la nube y los servicios de intercambio de archivos. Esto ha creado un panorama de seguridad fragmentado con productos puntuales desconectados, lo que resulta en costes operativos más altos y brechas de seguridad cada vez mayores» , resumen los investigadores de Proofpoint.

Un primer paso para el atacante es encontrar el objetivo perfecto a través de redes sociales, ofertas de empleo o registros normativos, trazando luego la estructura de esa organización para identificar a su víctima dentro de ella, preferiblemente con cierta autoridad y acceso a datos. A partir de ahí, se crea un señuelo personalizado mediante suplantación de identidad y otras herramientas. El mensaje debe tener una apariencia confiable, incluir un enlace malicioso disfrazado de documento seguro, así como hacer referencia a plazos para que la víctima realice una determinada acción. A esto le bastaría un simple descuido para hacer clic en la URL e introducir sus credenciales de Microsoft 365 en una página de inicio de sesión falsa.

La víctima sigue adelante con su día como si nada, pensando que acaba de verificar su nombre de usuario y enviar correctamente el formulario con los datos solicitados, mientras que el ciberdelincuente va eludiendo distintas protecciones de la organización objetivo hasta completar la toma de control de su cuenta personal y tener ahora un acceso completo a la misma. Es entonces cuando comienza el verdadero daño. Conseguir un acceso inicial es sólo el inicio. El principal objetivo será escalar privilegios, ampliar accesos, ganar persistencia, cometer fraude, robar dinero y exfiltrar datos de alto valor. Para ello, el atacante utiliza la identidad de la víctima para engañar a otros usuarios, solicitando pagos urgentes por correo electrónico.

En caso de que la organización le descubra, el ciberdelincuente podrá permanecer más tiempo dentro de la red, crear nuevos métodos de autenticación, agregar su propio dispositivo como inicio de sesión de confianza, o utilizar la cuenta comprometida para controlar otras cuentas internas. Aquí es donde fallan muchos equipos de seguridad: pueden detectar un inicio de sesión maliciosa, pero sin un análisis de comportamiento más profundo no pueden ver el alcance completo del ataque. De este modo, se queda un paso por detrás del atacante.

«Los equipos de seguridad deben preguntarse si están deteniendo las amenazas antes de que lleguen a los empleados a través de cualquier canal digital, si confían en su ecosistema de comunicaciones empresariales, si el personal está preparado para reconocer y denunciar ataques, y si se pueden detectar cuentas comprometidas antes de que causen daños importantes. Si la respuesta no es un sí seguro, es el momento de reevaluar la estrategia» , explican los investigadores de Proofpoint.

Desde Proofpoint recomiendan una solución combinada de protecciones de seguridad para prevenir al máximo las amenazas centradas en las personas, tanto actuales como emergentes. Como requisitos incluiría una detección precisa de la más amplia variedad de amenazas, protección de cuentas basada en IA, formación específica sobre riesgos para que los usuarios tomen decisiones más seguras al enfrentarse a amenazas, protección contra phishing y la suplantación de identidad en todas las plataformas, gestión de riesgos de los usuarios y automatización de controles de seguridad adaptables.