Qué aprenderá en este artículo
- La violación de una cuenta de correo electrónico consiste en el acceso no autorizado a un buzón real, y no solo en el envío de un mensaje falsificado.
- Los atacantes suelen obtener acceso mediante el phishing, el «password spraying», el malware, los procesos de recuperación de contraseñas poco seguros o el robo de credenciales.
- Una cuenta de correo electrónico comprometida puede utilizarse con fines de fraude, phishing interno, vigilancia, robo de credenciales y filtración de datos.
- El EAC y el «business email compromise» están relacionados, pero no son lo mismo.
- Una mayor seguridad del correo electrónico depende de controles por niveles, la visibilidad de los buzones de correo, la detección de anomalías y una respuesta rápida ante incidentes.
La violación de una cuenta de correo electrónico se produce cuando un atacante obtiene acceso no autorizado a un buzón legítimo y comienza a utilizarlo como plataforma de confianza para llevar a cabo actividades de vigilancia, fraude u otros ataques. Esto lo diferencia de un simple problema de spam del tipo « » o de un correo electrónico sospechoso aislado.
Una vez que se compromete una cuenta de correo electrónico empresarial auténtica, el atacante se hace con la confianza, el historial de mensajes y el contexto de comunicación , que pueden utilizarse en contra de la organización. En el caso de los equipos empresariales, la violación de la seguridad del correo electrónico suele ser el inicio de un incidente mucho más amplio.
¿Qué es la violación de la seguridad de una cuenta de correo electrónico (EAC)?
El acceso no autorizado a una cuenta de correo electrónico consiste en el acceso no autorizado a una cuenta de correo electrónico legítima. En lugar de hacerse pasar por el usuario desde el exterior, el atacante se encuentra dentro del buzón real y se aprovecha de la confianza que ello conlleva.
Los atacantes pueden acceder a las cuentas de correo electrónico de varias formas. Algunos métodos se basan en el engaño, mientras que otros aprovechan de forma « » las credenciales poco seguras o las medidas de protección deficientes de las cuentas. Entre los métodos más habituales se encuentran:
- Correos electrónicos de phishing: engañar a un empleado para que introduzca sus credenciales de acceso en una página falsa.
- Solicitudes de autorización maliciosas: se pide al usuario que autorice el acceso del atacante mediante una solicitud falsa o inesperada.
- Credenciales robadas: reutilice los nombres de usuario y las contraseñas obtenidos a través de filtraciones anteriores o de mercados ilícitos.
- Ataque de «spraying» de contraseñas: probar contraseñas habituales en numerosas cuentas para detectar puntos de acceso vulnerables.
- Malware: Captura de credenciales, datos de sesión o acceso al buzón de correo a través de un sistema infectado.
- Contraseñas reutilizadas: facilitan a los atacantes el acceso a una cuenta de correo electrónico utilizando credenciales que se han filtrado en otros sitios.
- Procesos de restablecimiento o recuperación de contraseñas poco seguros: ofrecen a los atacantes otra vía de acceso al buzón de correo cuando los pasos de recuperación no están bien protegidos.
¿Por qué un buzón de verdad es tan peligroso?
El peligro aumenta una vez que el atacante se ha introducido en un buzón real. En ese momento, ya no operan con una identidad falsa de , sino con una cuenta legítima que ya goza de confianza y cuenta con un contexto empresarial. Un buzón de correo real ya tiene en cuenta la reputación del remitente, el contexto interno y un historial de conversaciones anteriores. Los mensajes enviados desde esa cuenta tienen más probabilidades de ser abiertos, de inspirar confianza y de que se actúe en consecuencia.
Por qué la EAC es importante para las empresas
Para las grandes empresas, el acceso no autorizado a las cuentas de correo electrónico no es solo un problema relacionado con el buzón de correo. Esto puede convertirse rápidamente en un problema más amplio de relacionado con el fraude, la confianza y el riesgo operativo en toda la empresa.
Esto puede dar lugar a la manipulación de facturas, la divulgación de información confidencial, el phishing interno, el fraude financiero o una amenaza cibernética más amplia que afecte a otros sistemas y usuarios. El verdadero riesgo radica en la legitimidad del propio buzón de correo, ya que una cuenta que haya sido objeto de un ataque puede parecer normal a primera vista.
¿Cómo se produce la violación de una cuenta de correo electrónico?
La violación de la seguridad de una cuenta de correo electrónico suele comenzar con el robo de las credenciales de acceso, aunque el proceso que conduce a dicha violación puede variar. Algunos ataques son directos y rápidos. Otras son más discretas y se van revelando con el tiempo.
Phishing
Un ataque de phishing de tipo « » ( ) es una de las vías más habituales de compromiso de la seguridad. El atacante envía un mensaje convincente diseñado para robar las credenciales de inicio de sesión , provocar una aprobación maliciosa de inicio de sesión o redirigir al usuario a una página de inicio de sesión falsa. Dado que el phishing se basa en la confianza y en la urgencia, sigue siendo una de las formas más eficaces que tienen los ciberdelincuentes para acceder al entorno de correo electrónico empresarial .
Secuestro de la cadena de suministro
Los atacantes también pueden obtener acceso a través de un proveedor, socio o sistema de terceros que haya sido vulnerado. Cuando ya existe una relación de confianza con un socio externo , las actividades maliciosas pueden pasar desapercibidas entre las comunicaciones empresariales por correo electrónico existentes. Esta es una de las razones por las que los abusos en la cadena de suministro pueden resultar difíciles de detectar a tiempo.
Robo de credenciales
La vulnerabilidad también puede producirse a través de credenciales obtenidas en otros sitios. Los atacantes pueden reutilizar nombres de usuario y contraseñas obtenidos de filtraciones anteriores, programas de robo de información o mercados clandestinos. Si un usuario utiliza la misma contraseña en varios servicios de , el riesgo aumenta considerablemente.
Ataque de «spraying» de contraseñas
En un ataque de «password spraying» de tipo « », el atacante prueba contraseñas habituales en numerosas cuentas, en lugar de centrarse en una sola cuenta con múltiples intentos de adivinar la contraseña. Esta herramienta ayuda a evitar bloqueos de acceso, al tiempo que permite identificar los puntos de acceso vulnerables. Resulta especialmente eficaz cuando las organizaciones no aplican una política de contraseñas segura.
Malware
El malware presente en un terminal infectado puede capturar credenciales, tokens de sesión u otra información que permita el acceso a los buzones de correo . En algunos casos, los atacantes ni siquiera necesitan volver a utilizar la contraseña si logran secuestrar una sesión activa.
Flujos de recuperación débiles
Algunos atacantes se centran en los mecanismos de restablecimiento y recuperación de contraseñas, en lugar de atacar directamente el buzón de correo. Si las preguntas de recuperación, el restablecimiento de autorizaciones o las comprobaciones de identidad son deficientes, la cuenta puede ser pirateada sin necesidad de recurrir a una técnica tradicional de phishing.
Obtener acceso
Una vez que consiguen el acceso, los atacantes suelen dedicar un tiempo a observar antes de actuar. Pueden supervisar conversaciones, revisar hilos de pago , buscar información confidencial o analizar cómo se llevan a cabo las aprobaciones. Asimismo, pueden crear o modificar reglas de la bandeja de entrada de , cambiar la configuración de reenvío, ocultar los correos electrónicos que falten o enviar mensajes desde la cuenta.
Dado que el atacante utiliza una dirección de correo electrónico real, los mensajes fraudulentos pueden parecer mucho más convincentes. Un correo electrónico fraudulento enviado desde un buzón de correo comprometido puede hacer referencia a una cuenta bancaria real, a una transacción financiera real o a un hilo de un proveedor existente en . Por eso, cada ataque puede pasar rápidamente de una vigilancia discreta a un fraude activo.
EAC contra BEC
La suplantación de cuentas de correo electrónico y la business email compromise están estrechamente relacionadas, pero no son sinónimos. Mantener clara la distinción entre el « » ayuda a evitar solapamientos con estafas de BEC de mayor alcance y permite a los responsables de la seguridad centrarse en los controles adecuados.
EAC hace referencia a la violación de la seguridad de un buzón de correo real. La actividad de los ataques de business email compromise es más amplia. Incluye correos electrónicos comerciales engañosos utilizados con fines fraudulentos, incluso cuando el atacante nunca llega a acceder a un buzón de correo real. Un correo electrónico de BEC podría proceder de mediante suplantación de identidad, falsificación o un dominio similar. EAC, por el contrario, comienza con un acceso real al buzón de correo.
Estas son las diferencias entre ambos:
|
Aspecto |
EAC |
BEC |
|
Punto de partida |
Todo comienza con un buzón de correo comprometido. |
Puede comenzar con la suplantación de identidad, la falsificación o un buzón de correo realmente comprometido. |
|
Gol del atacante |
A menudo facilita la vigilancia, el robo de credenciales, el fraude o, en general, un uso indebido a lo largo del tiempo. |
Por lo general, se centra en el engaño con el fin de obtener dinero, datos o una acción determinada. |
|
Síntomas habituales |
Reglas extrañas en la bandeja de entrada, cambios en el reenvío, inicios de sesión anómalos o mensajes enviados inesperados. |
Solicitudes de pago urgentes, facturas falsas, cambios en las nóminas o solicitudes de tarjetas regalo. |
|
Enfoque defensivo |
Requiere visibilidad del buzón, detección de anomalías, controles de autenticación y medidas de respuesta dentro de la cuenta . |
Requiere medidas de protección contra la suplantación de identidad, protección de dominios y procesos de verificación más rigurosos. |
Los atacantes no siempre necesitan un buzón de correo electrónico comprometido para llevar a cabo estafas de suplantación de identidad del director general o fraudes en los pagos. Los estafadores que utilizan el método BEC siguen logrando sus objetivos mediante mensajes falsificados. Sin embargo, cuando se utiliza EAC, el atacante dispone de mucho más contexto y confianza con los que actuar.
¿Cuáles son los indicios de que una cuenta de correo electrónico ha sido pirateada?
La violación de la seguridad de una cuenta de correo electrónico puede resultar difícil de detectar a tiempo, ya que la actividad suele proceder de una cuenta real con un historial real . El bloqueo tradicional por sí solo no siempre es suficiente, por lo que los equipos de seguridad suelen necesitar una mayor visibilidad del comportamiento de los « » y del contexto de la comunicación.
Restablecimientos inesperados de contraseña
Las solicitudes de restablecimiento no planificadas pueden indicar que un atacante está intentando hacerse con el control del buzón de correo o interferir en los pasos de recuperación . Aunque el acceso aún no se haya establecido por completo, esto puede ser un indicio temprano de que la cuenta está siendo objeto de un ataque.
Mensajes recibidos sospechosos
Es posible que el usuario encuentre mensajes que nunca envió, entre ellos solicitudes relacionadas con cambios en las nóminas, pagos a proveedores o actualizaciones de cuentas de « » bancarias. Dado que los mensajes proceden de una cuenta de correo electrónico legítima, es posible que los destinatarios se muestren más dispuestos a confiar en ellos .
Reglas de la bandeja de entrada desconocidas
Los atacantes suelen crear reglas que ocultan, redirigen o supervisan de forma silenciosa los mensajes. Esto les permite permanecer más tiempo en la cuenta , al tiempo que reduce la probabilidad de que el usuario se dé cuenta de que algo va mal.
Ubicaciones de inicio de sesión anómalas
El acceso desde ubicaciones que no se ajustan al patrón habitual del usuario puede ser un claro indicio de que se ha producido una intrusión. Por sí solo , esto puede que no confirme la existencia de actividad maliciosa, pero resulta más preocupante cuando se combina con otros comportamientos inusuales.
Acceso desde dispositivos poco habituales
Un inicio de sesión desde un dispositivo que el usuario nunca haya utilizado podría indicar un acceso no autorizado. Esto resulta especialmente importante cuando el dispositivo no se ajusta a los hábitos de trabajo habituales del usuario ni a los dispositivos finales conocidos.
Cambios en el reenvío de correo
Los atacantes pueden configurar un reenvío para capturar copias de mensajes confidenciales o mantener la visibilidad en caso de que pierdan el acceso directo a . Estos cambios pueden permitirles seguir supervisando el buzón de correo incluso después de que se haya detectado la intrusión inicial.
Mensajes eliminados o que faltan
Los correos electrónicos que faltan o las conversaciones eliminadas pueden indicar un intento de ocultar actividades fraudulentas o de borrar pruebas. En algunos casos, los atacantes borran mensajes para obstaculizar la comunicación entre el usuario y el equipo de seguridad.
Conversaciones externas inusuales
Los equipos de seguridad podrían detectar comunicaciones sospechosas dirigidas a clientes, proveedores o socios que procedan del buzón de correo comprometido. Esto puede incluir el desvío de pagos, solicitudes de datos personales o intentos de continuar una campaña más amplia de phishing .
El problema es que una cuenta de correo electrónico comprometida sigue pareciendo legítima a simple vista. Utiliza el remitente correcto, el historial adecuado y el contexto empresarial adecuado, por lo que los defensores suelen necesitar algo más que el bloqueo de remitentes.
Cómo pueden las organizaciones protegerse contra el acceso no autorizado a las cuentas de correo electrónico
Para protegerse contra el acceso no autorizado a las cuentas de correo electrónico, es necesario contar con un sistema de protección por capas para el correo electrónico empresarial. Una única medida de control no resolverá por sí sola el problema, ya que los atacantes pueden dirigirse a personas, credenciales, sesiones y flujos de trabajo de diferentes maneras.
Mejorar el acceso y la autenticación
Para reducir el riesgo de que se comprometan las cuentas de correo electrónico, lo primero es hacer que las credenciales robadas resulten menos útiles. La autenticación multifactorial añade otra barrera, mientras que unos controles más estrictos sobre las contraseñas contribuyen a reducir el riesgo de que se utilicen credenciales débiles o reutilizadas.
Las organizaciones también deben reforzar los procesos de restablecimiento de contraseñas y recuperación de cuentas, ya que los atacantes pueden centrarse en ellos cuando fallan los intentos de inicio de sesión directo . La supervisión de anomalías en el inicio de sesión añade una capa adicional de seguridad al señalar los accesos inusuales procedentes de ubicaciones, dispositivos o patrones de comportamiento desconocidos .
Mejorar la visibilidad, la capacidad de respuesta y la protección de los usuarios
Una vez obtenido el acceso, el siguiente reto consiste en detectar cualquier uso indebido antes de que se convierta en un fraude de mayor envergadura o en una filtración de datos de tipo « ». Los atacantes suelen recurrir a una actividad en el buzón de correo que parece normal para pasar desapercibidos mientras amplían su alcance.
- Detección de mensajes sospechosos: ayuda a identificar antes la actividad fraudulenta o anómala en el correo electrónico.
- Supervisión del buzón de correo: supervisa los cambios y comportamientos que puedan indicar una intrusión o un uso indebido.
- Controles contra el phishing: Reduzcan la probabilidad de que el phishing permita el acceso al buzón de correo.
-
Medidas de respuesta más rápidas: la interrupción de la sesión o los reinicios forzados pueden ayudar a contener rápidamente los abusos una vez que se haya confirmado la intrusión.
Mimecast respalda este tipo de defensa ayudando a las organizaciones a mejorar la visibilidad sobre el comportamiento anómalo del correo electrónico, el riesgo de suplantación de identidad « » y las amenazas dirigidas a personas concretas. Esto es importante porque una protección eficaz del correo electrónico empresarial no solo depende de bloquear los mensajes sospechosos, sino también de detectar cuándo una cuenta de correo real comienza a mostrar un comportamiento sospechoso.
El papel de la violación de cuentas de correo electrónico en la seguridad empresarial
La violación de la seguridad de una cuenta de correo electrónico constituye una amenaza importante que hay que tener en cuenta, ya que puede convertirse rápidamente en algo más que un simple problema relacionado con el buzón de correo. Un único buzón de correo electrónico comprometido puede exponer información confidencial, dar lugar a fraudes basados en la confianza, provocar casos de phishing interno o dar lugar a incidentes de seguridad de mayor alcance en toda la organización. Esto puede afectar a los pagos a proveedores, a las comunicaciones con los clientes y al acceso de a información empresarial relevante, todo ello al mismo tiempo.
Para los responsables de la seguridad de las empresas, el EAC supone un riesgo empresarial, no solo un problema relacionado con el correo electrónico. Una detección más eficaz, una contención más rápida, una autenticación más segura y una mayor visibilidad del buzón de correo pueden ayudar a evitar que una cuenta comprometida se convierta en un incidente de mayor alcance . Mimecast ayuda a las organizaciones a reducir las brechas de seguridad relacionadas con el correo electrónico, a mejorar la respuesta y a limitar el impacto de el uso indebido de cuentas de confianza.