Cuando hablamos de amenazas a la seguridad de tus correos electrónicos, una de los ataques más comunes (y por demás subestimada) es el phishing por correo electrónico; particularmente cuando este va dirigido a empresas. Los ataques phishing son situaciones críticas cuando se trata de filtrar y robar datos confidenciales, información personal y archivos sensibles de tu empresa. El spear phishing y otros ataques de correo dirigidos tienen un impacto con el potencial de ser más catastrófico.
El tipo de phishing más reconocido es el más usado por los piratas informáticos: el phishing con fines engañosos; bajo este enfoque, el atacante busca «regar y esperar» su carnada con la cual ya muchos usuarios están familiarizados. Lo podemos apreciar como correos electrónicos falsos, nombres modificados, logotipos falsos para empresas familiares. La esperanza siempre es que uno de estos mensajes te tome por sorpresa y te engañen. Sin embargo, hay otro tipo de correo phishing que es mucho más peligroso: los ataques de correos dirigidos, también conocidos como phishing selectivo.
¿Qué es el Spear Phishing?
Nos toca definir a continuación qué es un ataque de spear phishing. Este tipo de ataque es dirigido directamente a personas que han sido previamente investigadas, generalmente es personal de una empresa u organización de alto perfil. El objetivo de estos ataques es engañar y manipular a la víctima para que entregue información sensible, archivos confidenciales u otros datos valiosos que detallan el funcionamiento de la empresa. Estos ataques requieren bastante trabajo por parte del atacante, y generalmente vale la pena el esfuerzo, debido a lo efectivo que tienden a ser.
Las personas que son objetivos de estos ataques, son investigadas de una manera profunda, lo cual los hace fáciles de manipular. Es probable que los atacantes llamen la atención del empleado con información personal, directamente dirigida a ellos en vez de usar el clásico correo no deseado genérico que es redirigido a la bandeja de spam.
Una vez que la investigación está completa, el (o los) atacantes pueden tener a un empleado como rehén a través de sus datos. Lo más común es amenazar con hacer mal uso de estos o engañar a la víctima haciéndole creer que posee más información de la que realmente tiene en su poder. En cualquiera de estos escenarios, la víctima se siente en una situación aterradora, el pánico y miedo que generan estas situaciones son la razón por la que estos ataques tienen éxito.
En el año 2017, un infame ataque de phishing selectivo fue llevado a cabo contra empleados de Facebook y Google. Estos fueron engañados por estafadores de origen lituano en una serie de correos extremadamente específicos. Este tipo de ataques les generaron pérdidas a los gigantes tecnológicos en el orden de los 100 millones de dólares.
Este es posiblemente uno de los ejemplos más graves, pero innumerables empresas y corporaciones son objeto de continuas estafas por correo electrónico. Nadie es inmune ante estos ataques, lo cual deja en evidencia el nivel de riesgo y lo que está en juego para muchas empresas y organizaciones.
Reconocimiento: investigación preliminar de los objetivos
Para los piratas informáticos y los phishers, ninguna información tiene poco valor. Una vez que fijan su objetivo, comienzan a compilar una red de datos sobre este. Por lo general comienzan con información pública abiertamente disponible: el perfil de la empresa, su nombre completo, etc.
Luego, comienzan a revisar con detalle las redes sociales del objetivo, perfiles nuevos y antiguos. Los hackers también analizan toda actividad e historial asociado a su objetivo para revisar cada pieza de información que les resulte útil.
Pieza a pieza, los atacantes siguen los rastros que consiguen hasta donde estos los lleven para acumular suficiente información. Una de las mayores desventajas de nuestra vida en la actualidad, es que gran parte de lo que hacemos queda registrado en Internet, a los piratas informáticos se les hace fácil conseguir muchísima información para atacarnos sin problemas. Todo lo que necesitan hacer es escarbar tan profundo como sea necesario e investigar, eventualmente conseguirán lo que necesitan.
Prevenir estos ataques desde el primer momento es casi imposible, la fase de investigación por parte de los hackers puede permanecer activa durante el tiempo que sea necesario, sin que la víctima sepa que ha sido marcada como objetivo o a la empresa con la que está asociado. Cuando comienza el ataque es posible notar que algo no anda bien.
Tener eficacia técnica de tu parte
El protocolo simple para transferencias de correos (o SMTP según sus siglas en inglés) no se creó para detectar mensajes maliciosos. Su funcionalidad no es para la seguridad: esta herramienta es netamente funcional. la marca y dominio que usa pueden ser suplantadas por cualquiera que esté dispuesto a hacer el esfuerzo.
Usar únicamente SMTP te deja vulnerable a múltiples ataques de correo. La única forma de defenderse de este tipo de ataques maliciosos es mediante la protección de tu infraestructura de correos. Considera la encriptación, el uso de puertas de enlace de correo seguras y protocolos de seguridad como SPF, DKIM y DMARC.
Una vez que configuradas las políticas SPF y DKIM en tu DNS estas pueden velar por el cumplimiento de las políticas DMARC, los destinatarios de correo pueden recibir mensajes de confianza. Si tu dominio no tiene estos protocolos configurados, no tienes protección alguna contra los correos phishing y los ataques de suplantación de identidad, lo cual puede afectar a tus clientes.
El phishing, la suplantación de identidad y otros tipos de ataques que comprometen tu dominio y la reputación de tu empresa quedan sin efecto al instante. Los hackers dejan de considerar los ataques a tus empleados y cualquier intento de infiltrar tu empresa se vuelve menos atractiva una vez que implementas los protocolos de protección, ya que estos podrán ver las medidas de seguridad al iniciar la etapa de investigación preliminar.
Explotación del factor humano
Los ataques de correo dirigidos a objetivos específicos funcionan debido a una falla específica en todas las empresas y organizaciones: todos somos seres humanos. No importa que tan cuidadosos seamos o que tan capacitados están nuestros empleados, siempre hay espacio para que algún detalle se pase por alto y se cometa un error. Ese pequeño lapso en el juicio de cualquiera es usado por los atacantes para introducir el pie en la puerta y usarlo a su favor.
Los ataques dirigidos como el phishing selectivo están categorizados como ataques de ingeniería social, ya que explotan a las personas, sus vulnerabilidades y su miedo a lo desconocido.
La mayoría de estos ataques de correo usan un dominio que parece visiblemente legítimo, pero que está cargado de inconsistencias, tales como errores ortográficos. Los detalles en ocasiones son prácticamente indistinguibles de los correos genuinos y solo es posible darse cuenta de la estafa que representan si analizamos con atención cada palabra.
Esta es una de las razones por las cuales no podemos confiar solamente en nuestro sentido común para defendernos de estos intentos de ataques a nuestra infraestructura de correos. La eficacia de un ataque dirigido depende de muchos factores alineados pero los chances de permitir que estos elementos se alineen en favor del atacante disminuyen notablemente al usar protocolos de protección tales como DMARC, lo cual al largo plazo es una buena elección.
¿Por qué la política “rechazo” de DMARC es tan eficaz contra los ataques dirigidos?
La política de rechazo de DMARC es extremadamente efectiva gracias al sistema de autenticación de firmas digitales. Los correos autenticados que parten de dominios confiables son los que fluyen con mayor libertad en la web. Los dominios que no tienen reputación solo envían mensajes que nunca llegan a su destino. Como es de imaginarse, esto desalienta a los piratas informáticos de intentar un ataque, ya que no hay forma de abrirse paso.
Sin embargo, DMARC no funciona como arte de magia, lograr el cumplimiento de la política de rechazo a veces toma semanas o incluso meses, según la cantidad de fuentes que estén activas. Entonces es pertinente preguntar, ¿cómo juzga DMARC si la fuente es genuina o no?
Lo primero que hace este protocolo es combinar la autenticación y la alineación de los registros SPF y DKIM para comenzar a monitorear tu infraestructura de correo electrónico. También te ofrece informes de agregaduría donde puedes analizar tus fuentes en base a los estatus «Conforme» y «No conforme». A partir de ahí, puedes continuar modificando SPF y DKIM para cada fuente, e ir decidiendo cuáles pueden enviar correos a tu nombre y cuáles no.
Alcanzar una aplicación 100% funcional del protocolo de rechazo DMARC no es algo que se logre con un solo clic y una sola vez.
DMARC es una herramienta poderosa, y puede brindarte un gran nivel de protección contra correos maliciosos, pero no es aconsejable ponerlo a trabajar a toda máquina desde el principio. Si lo haces, tus destinatarios no recibirán ningún correo de tu parte. Trabaja la herramienta de forma gradual, de esta manera evitarás que sean rechazados tus correos genuinos.
¿Tu trabajo termina cuando alcanzas la mejor funcionalidad de la política de rechazo de DMARC? Podemos decir que sí, por ahora. Pero aún hay advertencias que debes tener en cuenta. Tu infraestructura de correo electrónico no es algo estático. Esta necesita mantenimiento periódico, y a medida que cambian las fuentes.
Debes estar al tanto de los correos enviados desde tu dominio, incluso después de pasar a «p = rechazar». Es por eso que los usuarios de EasyDMARC continúan recibiendo informes de DMARC incluso cuando alcanzan el 100% de funcionalidad de la política.
Conclusión
La suplantación de identidad, el spear phishing y otros ataques dirigidos a objetivos son problemas graves para tu empresa y para las personas que confían en tu organización, así como para quienes trabajan allí. A nadie le place ser víctima de un ataque dirigido, ya que estos son frecuentes y altamente eficientes.
Toda empresa debe contar con los medios para proteger a sus clientes y empleados contra estos tipos de ataques de correo. Solo necesitan estar atentos a las medidas de seguridad implementadas y mantenerlas actualizadas.