Resumen de Human Risk: Bombas de correo electrónico, ataques basados en navegadores y empresas de drones

En esta edición del Human Risk Roundup, nos sumergimos en tres acontecimientos recientes de gran repercusión periodística - siga leyendo para obtener más información.

Bombas de correo electrónico explotan la autenticación laxa en Zendesk

Los ciberdelincuentes se aprovecharon de una configuración de autenticación laxa en la plataforma de atención al cliente de Zendesk para inundar las bandejas de entrada con miles de correos electrónicos maliciosos, aprovechando las cuentas de clientes legítimos de Zendesk. Este abuso pone de relieve los riesgos de permitir el envío de entradas anónimas sin la debida verificación, lo que puede empañar las marcas y abrumar a los objetivos.

¿Qué ha pasado?

Los ciberdelincuentes se aprovecharon de la configuración de Zendesk que permite a los usuarios anónimos enviar tickets de soporte, utilizándola para enviar miles de correos electrónicos maliciosos. Estos correos electrónicos, enviados desde cuentas legítimas de clientes de Zendesk como The Washington Post y NordVPN, saturaron las bandejas de entrada con spam y mensajes dañinos. Los atacantes aprovecharon la falta de validación de la dirección de correo electrónico en el proceso de creación de tickets de Zendesk, lo que les permitió utilizar direcciones de remitente falsas. A pesar de las medidas de limitación de velocidad de Zendesk, los atacantes consiguieron enviar un gran volumen de correos electrónicos en poco tiempo. Zendesk reconoció el problema y recomendó a los clientes implementar flujos de trabajo autenticados para evitar abusos. Sin embargo, la configuración actual de la plataforma prioriza la comodidad sobre la seguridad, lo que deja margen para este tipo de ataques.

Por qué es importante

Este incidente subraya la importancia crítica de aplicar la autenticación y la validación en los sistemas orientados al cliente. El personal de ciberseguridad debe reconocer que incluso plataformas de confianza como Zendesk pueden convertirse en armas si se configuran mal. El ataque demuestra cómo una configuración de seguridad poco estricta puede perjudicar tanto a las personas atacadas como a las marcas cuyas cuentas son explotadas. También destaca la necesidad de medidas proactivas, como la limitación de la tasa y la validación del correo electrónico, para mitigar los abusos. Para los equipos de ciberseguridad, esto sirve como recordatorio para auditar regularmente las herramientas de terceros y asegurarse de que se ajustan a las mejores prácticas de seguridad. En última instancia, el evento hace hincapié en el equilibrio entre usabilidad y seguridad, instando a los profesionales a dar prioridad a las salvaguardas sin comprometer la funcionalidad.

Cuatro consejos prácticos para los responsables de seguridad

1. Imponga la validación del correo electrónico: Asegúrese de que todos los sistemas orientados al cliente validan las direcciones de correo electrónico antes de procesar las solicitudes para evitar abusos.
2. Implemente la autenticación para el envío de tickets: Exija a los usuarios que se autentiquen antes de enviar tickets de soporte para reducir el riesgo de abusos anónimos.
3. Audite regularmente las herramientas de terceros: Realice revisiones periódicas de plataformas como Zendesk para identificar y abordar posibles brechas de seguridad.
4. Eduque a los equipos sobre las mejores prácticas de configuración: Forme al personal para que configure los sistemas de forma segura, equilibrando la facilidad de uso con medidas de seguridad sólidas.

Más información sobre el ataque.

Análisis de ClickFix: la técnica basada en el navegador que está detrás de las infracciones de los infosteadores

Los ataques basados en navegadores, como ClickFix y los esquemas CAPTCHA falsos, que aprovechan las interacciones de los usuarios con scripts maliciosos para distribuir programas maliciosos como infosecuestradores y registradores de pulsaciones de teclas, constituyen una amenaza creciente. Estos ataques conducen a menudo al robo de datos, el despliegue de ransomware y la doble extorsión, lo que plantea importantes retos a los equipos de ciberseguridad en materia de detección y respuesta.

¿Qué ha pasado?

Estos ataques basados en navegadores se están convirtiendo en un método muy utilizado por los ciberdelincuentes para vulnerar la seguridad. Engañan a los usuarios para que interactúen con scripts maliciosos, permitiendo la entrega de malware como infostealers, keyloggers y software de acceso remoto. Una vez dentro, los atacantes roban las cookies de sesión y las credenciales para comprometer las aplicaciones y servicios empresariales. Los datos robados se utilizan a menudo para pedir un rescate, y el ransomware se utiliza a veces como táctica de extorsión secundaria.

Por qué es importante

Los ataques basados en navegadores representan una evolución significativa en las ciberamenazas, ya que se dirigen a las interacciones de los usuarios para eludir las medidas de seguridad tradicionales. Se aprovechan de las vulnerabilidades del comportamiento humano y de la seguridad de los navegadores, lo que dificulta su detección y prevención. Para el personal de ciberseguridad, esto significa adaptarse a un nuevo panorama de amenazas en el que las defensas tradicionales ya no son suficientes. El uso de cookies de sesión y credenciales robadas para infiltrarse en los sistemas empresariales supone un riesgo directo para los datos confidenciales y la continuidad operativa. El modelo de doble extorsión, que combina el rescate de datos con el ransomware, amplifica los daños financieros y de reputación para las víctimas. Comprender y mitigar estas amenazas es crucial para mantener unas defensas de ciberseguridad sólidas en un entorno de ataques cada vez más sofisticado.

Cuatro consejos prácticos para los responsables de seguridad

1. Eduque a los usuarios: Forme a los empleados para que reconozcan y eviten interactuar con indicaciones sospechosas del navegador, como falsos CAPTCHA o acciones inesperadas de copiar y pegar.
2. Mejore las herramientas de detección: Invierta en sistemas de detección avanzados capaces de identificar scripts maliciosos y comportamientos inusuales del navegador.
3. Supervise la actividad de la sesión: Implemente soluciones de supervisión para detectar el uso no autorizado de cookies y credenciales de sesión.
4. Prepárese para la doble extorsión: Desarrolle planes de respuesta a incidentes que aborden tanto el rescate de datos como los escenarios de ransomware para minimizar el impacto.

Más información sobre estas infracciones.

Hackers norcoreanos se infiltran en empresas de desarrollo de drones

Piratas informáticos norcoreanos, probablemente del grupo Lazarus, han puesto en su punto de mira a empresas europeas de desarrollo de aviones no tripulados en una campaña de ciberespionaje para robar tecnología patentada de vehículos aéreos no tripulados. Los ataques, que implican ingeniería social y programas maliciosos como ScoringMathTea, pretenden reforzar las capacidades de los aviones no tripulados de Corea del Norte para su uso militar.

¿Qué ha pasado?

El Grupo Lazarus se ha infiltrado en varias empresas europeas dedicadas al desarrollo y la defensa de aviones no tripulados. Estos ataques, que comenzaron en marzo, tuvieron como objetivo empresas del sureste y centro de Europa, incluidas las que fabrican vehículos aéreos no tripulados utilizados en el conflicto de Ucrania. Los hackers emplearon tácticas de ingeniería social para distribuir malware, como ScoringMathTea, que les otorgaba el control total del sistema. Las pruebas sugieren que la campaña tenía como objetivo robar conocimientos técnicos de fabricación y tecnología patentada de aviones no tripulados. Corea del Norte ha dado prioridad al avance de sus capacidades de vehículos aéreos no tripulados, como se ha visto en su reciente presentación de drones parecidos a modelos militares estadounidenses. Los ataques ponen de relieve la dependencia del régimen del ciberespionaje para acelerar sus avances militares.

Por qué es importante

Esta campaña subraya la persistente amenaza que suponen los actores del Estado-nación como Corea del Norte, especialmente en industrias críticas como la de defensa y la aeroespacial. El uso de la ingeniería social y del malware pone de relieve la necesidad de una sólida formación de los empleados y de medidas de seguridad para los puntos finales. Las tácticas del Grupo Lazarus, como la Operación Dream Job, explotan las vulnerabilidades humanas, lo que dificulta su detección y prevención. El robo de tecnología patentada no sólo compromete a las empresas objetivo, sino que también tiene implicaciones más amplias para la seguridad mundial y el equilibrio militar. El personal de ciberseguridad debe mantenerse alerta ante las amenazas en evolución, especialmente las que aprovechan técnicas sofisticadas de espionaje. Este incidente sirve para recordar el papel fundamental que desempeña la ciberseguridad en la protección de la propiedad intelectual y la seguridad nacional.

Cuatro consejos prácticos para los responsables de seguridad

1. Mejore la formación de los empleados: Eduque al personal sobre cómo reconocer y evitar las tácticas de ingeniería social, como las falsas ofertas de empleo y los intentos de phishing.
2. Implemente la protección de puntos finales: Implemente herramientas avanzadas de detección y respuesta de puntos finales (EDR) para identificar y mitigar malware como ScoringMathTea.
3. Supervise la actividad inusual: Audite regularmente el tráfico de la red y los registros del sistema en busca de indicios de accesos no autorizados o de filtración de datos.
4. Refuerce la seguridad de proveedores y socios: Asegúrese de que los proveedores y socios externos se adhieren a estrictos protocolos de ciberseguridad para evitar vulnerabilidades en la cadena de suministro.

Más información sobre la campaña.