Mimecast contraataca al phishing impulsado por inteligencia artificial

En lo que respecta a las defensas digitales, corren tiempos difíciles para las organizaciones de todo tipo y tamaño. Los ataques en línea de los ciberdelincuentes y otros actores maliciosos son cada vez más sofisticados y se producen a un ritmo sin precedentes.

La creciente disponibilidad de herramientas tecnológicas, incluidas muchas sobrealimentadas por la inteligencia artificial, está facilitando a los actores maliciosos el lanzamiento de ataques altamente personalizados contra un mayor número de objetivos.

Y no se trata sólo de los habituales actores patrocinados por el Estado y las bandas criminales de ultramar. Las empresas, incluidos los clientes de Mimecast, también se enfrentan a amenazas desde dentro de sus propias fronteras físicas.

La Agencia de Seguridad de las Infraestructuras de Ciberseguridad & (CISA), en colaboración con el FBI y las autoridades de Canadá y Australia, publicó recientemente un aviso conjunto actualizado sobre ciberseguridad en relación con "Scattered Spider", un grupo cibercriminal internacional vagamente afiliado que este año ha lanzado ataques en línea contra todo tipo de empresas, desde proveedores de tiendas de comestibles hasta compañías aéreas y de seguros.

Sólo en los seis primeros meses de este año, minoristas como Adidas, Marks & Spencer, Harrods, Cartier, Victoria's Secret y North Face, junto con el principal proveedor de Whole Foods, United Natural Foods, y la cadena británica de tiendas de comestibles Co-Operative Group, sufrieron ciberataques atribuidos a la araña dispersa que afectaron a sus operaciones.

Las autoridades del Reino Unido detuvieron en julio a cuatro presuntos miembros del grupo Araña Dispersa. Aun así, CISA advierte de que el grupo y sus tácticas, que hacen hincapié en la ingeniería social en lugar de explotar vulnerabilidades técnicas para violar los sistemas de las empresas, siguen representando un peligro.

El reto para las organizaciones sigue siendo cómo defenderse de esas y otras amenazas, sin que ello afecte a la productividad.

Para los expertos de Mimecast, la respuesta está en combinar la última inteligencia sobre amenazas con la gestión del riesgo humano, afirma Andrew Williams, principal responsable de marketing de productos de la empresa.

"No hay forma de librarse del riesgo; sólo se puede gestionar", dijo Williams. "Así que es cómo podemos seguir adelante y poner en marcha algunas medidas para, digamos, amortiguar a los usuarios para asegurarnos de que no hacen las cosas mal".

La creciente amenaza de la IA

Según el FBI, los atacantes de Scattered Spider son conocidos por utilizar diversas variantes de ransomware en ataques de extorsión de datos, incluido recientemente el ransomware DragonForce.

DragonForce surgió en 2023 y utiliza un modelo de "ransomware como servicio" (RaaS), lo que significa que los ciberdelincuentes sin demasiados conocimientos técnicos pueden adquirirlo en línea, personalizarlo y lanzarlo contra los objetivos que consideren oportunos. Originalmente utilizado en ataques por motivos políticos, ahora se utiliza en campañas de extorsión motivadas por el dinero.

Aunque el FBI afirma que Scattered Spider cambia a menudo sus tácticas, técnicas y procedimientos para permanecer por debajo del radar de los defensores, existen algunos rasgos distintivos de sus ataques, como el uso intensivo de técnicas de ingeniería social como el phishing, el push bombing y los ataques de intercambio de SIM. Independientemente del método, el objetivo es robar las credenciales de la cuenta, sortear las protecciones MFA y, posiblemente, instalar programas espía.

Las afirmaciones del FBI están respaldadas por una investigación de Mimecast publicada en mayo. Ese informe anunciaba el descubrimiento de más de 150.000 campañas de phishing que suplantan la identidad de proveedores de servicios, entre ellos SendGrid, HubSpot, Google y Okta. Las campañas, que según los investigadores estaban probablemente vinculadas a Scattered Spider, incluían notificaciones falsas diseñadas para que los usuarios entregaran sus credenciales de inicio de sesión. 

Ahora, esos métodos de ataque más tradicionales y menos técnicos se están potenciando con herramientas de IA que permiten a los ciberdelincuentes hacer todo eso más rápido y a una escala mucho mayor, dijo Williams.

Los investigadores de Mimecast empezaron a detectar el uso de la IA en correos electrónicos de todo tipo tras el lanzamiento de ChatGPT, dijo Williams. Se disparó de nuevo después de que el competidor chino DeepSeek se lanzara a principios de este año. Este año, los avistamientos de correos maliciosos generados por IA ya han superado con creces el total de 2024. 

"Así que definitivamente es muy prevalente y relevante para lo que los atacantes están haciendo", dijo Williams.

La ingeniería social humana recibe un impulso de la IA

Los expertos le dirán que a la IA, tanto si se utiliza con fines defensivos como maliciosos, aún le queda mucho camino por recorrer antes de que pueda sustituir a los humanos. Pero ya se ha convertido en una herramienta clave para los atacantes.

En particular, los ciberdelincuentes están utilizando la IA para elaborar correos electrónicos de phishing pulidos, profesionales y muy dirigidos a sus destinatarios. Y cada vez es más difícil separar las comunicaciones generadas por IA de las creadas por humanos.

El equipo de Investigación de Amenazas de Mimecast ha identificado recientemente una campaña de Business Email Compromise (BEC) que utiliza cadenas automatizadas de correos electrónicos falsos para cometer fraudes de facturas a gran escala. Lo notable de la campaña es que combina la ingeniería social tradicional impulsada por humanos con nuevas herramientas de IA que crean conversaciones de apariencia legítima, pero falsas, entre ejecutivos y empresas externas.

Las cadenas de correo electrónico falsificadas incluyen lo que parecen ser comunicaciones comerciales legítimas, con cada hilo elaborado para incluir la necesidad de que el director general o los altos ejecutivos de la empresa aprueben urgentemente los pagos de facturas.

Los investigadores de Mimecast observaron que las campañas mostraban claros signos de automatización, señalando la inclusión de contenidos generados por IA, junto con archivos PDF adjuntos generados con tecnología de navegador sin cabeza justo antes del envío de los correos electrónicos. Además, el análisis técnico de las campañas reveló varios indicios de distribución automatizada, señalaron.

Mientras tanto, el análisis lingüístico y estructural del cuerpo del texto de los correos electrónicos reveló varios indicios de que habían sido generados por grandes modelos lingüísticos (LLM), como un alto nivel de fluidez en ese idioma concreto, un contexto adecuado y la ausencia de los errores gramaticales habituales, señalaron los investigadores. En resumen, eran demasiado perfectos para haber sido creados por un humano.

Los investigadores señalaron un caso concreto de una cadena de correos electrónicos falsos generada por la IA que comenzaba con una factura falsa de lo que parecía una empresa de consultoría de terceros. A ese correo electrónico le siguió una confirmación falsa del director general de la empresa diciendo que lo reenviaba al departamento financiero de la empresa para su pago.

El siguiente correo electrónico falso de la cadena parecía proceder de la empresa consultora y decía que la factura aún no se había pagado, añadiendo un tono de urgencia, al que seguía otro correo electrónico falso del director general diciendo que la factura se pagaría y, finalmente, un correo electrónico de "AVISO FINAL A CONTABILIDAD" dirigido al departamento financiero de la empresa.

El correo electrónico de "Notificación final" fue el primero que se envió realmente al departamento financiero de la empresa, y la cadena inventada que había detrás le dio apariencia de legitimidad. La idea consistía en engañar al destinatario haciéndole creer que no había recibido los correos anteriores, para luego hacer que entrara en pánico y pagara la factura falsa sin verificar su autenticidad.

Protección mediante tecnología y formación

La pregunta entonces es: ¿cómo pueden protegerse mejor las empresas contra esas amenazas crecientes?

Para Mimecast, la solución reside en una combinación de inteligencia sobre amenazas y gestión de riesgos humanos, dijo Williams. Son dos caras de la misma moneda. Son diferentes, pero funcionan juntos.

La inteligencia sobre amenazas le proporciona el "qué" y el "cómo", dijo Williams, es decir, qué está siendo atacado y cómo se están produciendo esos ataques. Eso incluye cualquier técnica particular de ingeniería social que se esté utilizando o vulnerabilidades específicas que se estén explotando.

Gran parte de esa inteligencia procede de los datos recopilados de los 42.000 clientes de Mimecast y de los 1.800 millones de correos electrónicos que la empresa escanea cada día, dijo Williams. En total, la empresa examinó y escaneó 90.000 millones de puntos de interacción en el segundo semestre del año pasado. Eso incluye todo, desde eventos DLP a clics, pasando por mensajes BEC, el descubrimiento de IA o eventos de exfiltración.

"Hay tanto que podemos utilizar en términos de una comprensión de lo que es, en última instancia, la cadena de ataque de lo que nuestros clientes están siendo blanco", dijo Williams. "Y, recíprocamente, ¿cuál es la visión que podemos extraer de ello?"

Al mismo tiempo, la gestión del riesgo humano le proporciona el "quién" y el "por qué", es decir, qué personas de una empresa están en el punto de mira y por qué lo están, dijo. Eso permite a los defensores poner en marcha medidas proactivas allí donde más importan.

Controlar a todo el mundo en una empresa determinada no es una opción, porque los controles demasiado restrictivos pueden obstaculizar la productividad. Y según los datos de Mimecast, sólo 8% de los empleados son responsables del 80% de los incidentes de seguridad. Así que las políticas de talla única no funcionan.

Aquí es donde entran en juego las políticas adaptativas de Mimecast. Están diseñadas para analizar de forma proactiva patrones y detectar comportamientos de riesgo -como hacer clic en correos electrónicos de phishing, manejar indebidamente datos confidenciales o interactuar con malware- y ofrecer soluciones de seguridad a medida.

Mimecast anunció sus nuevas funciones de seguridad adaptativa en el recinto ferial de la conferencia anual Black Hat de Las Vegas. Los controles impulsados por IA del sistema están diseñados para ajustar automáticamente las medidas de seguridad basándose en la evaluación de riesgos en tiempo real, los datos de la ciencia del comportamiento y la inteligencia sobre amenazas.

La idea es garantizar niveles de protección y restricciones óptimos para los usuarios que más los necesitan, ayudando a las organizaciones a adelantarse a las amenazas y a evitar la pérdida de datos críticos, al tiempo que se reducen los costes.

"Los equipos de seguridad están sometidos a una presión constante para hacer más con menos, y eso empieza por ser más inteligentes a la hora de utilizar su tiempo y sus herramientas", afirma Ranjan Singh, director de producto & Technology Officer de Mimecast.