Esto demuestra que, si bien las defensas comunes de correo electrónico previas a la entrega son eficaces para detener el malware, son mucho menos capaces de bloquear amenazas de alto riesgo, como la vulneración del correo electrónico empresarial y el phishing de credenciales.
El 49 % de los ataques del cuarto trimestre se dirigieron a las credenciales de Microsoft 365 , ya que permiten el acceso a una amplia gama de datos y servicios de la organización. También facilitan ataques de robo de cuentas (ATO), en los que se envían comunicaciones maliciosas desde la cuenta de un usuario interno de confianza.
La ingeniería social domina las amenazas del correo electrónico corporativo
El 40 % de las amenazas por correo electrónico que llegaron a las bandejas de entrada de usuarios corporativos en el cuarto trimestre fueron ataques de ingeniería social. Estos ataques no contienen enlaces ni archivos adjuntos maliciosos y se basan exclusivamente en la ingeniería social para convencer a las víctimas de realizar acciones como divulgar información confidencial, transferir fondos o participar en otras actividades fraudulentas.
Los atacantes utilizan correos electrónicos simples que contienen números de teléfono y códigos QR para atraer a las víctimas a entornos menos seguros donde pueden ser explotados con mayor facilidad. Estos ataques multicanal son difíciles de detectar porque los correos electrónicos son muy básicos y carecen de contenido que normalmente detectan los filtros. La amenaza multicanal más común en 2024 fue el vishing híbrido, que comienza con un correo electrónico de phishing que engaña a la víctima para que llame a un número de teléfono donde se ejecuta la estafa.
Otra tendencia de amenazas multicanal fue la distribución de URL maliciosas mediante códigos QR en el cuerpo del mensaje o en archivos adjuntos. Este método permitió a los ciberdelincuentes filtrar URL maliciosas por los filtros de correo electrónico que no tenían la capacidad de extraer ni analizar el contenido almacenado en códigos QR.
El volumen de información personal disponible en fuentes abiertas y la dark web es inmenso, con más de mil millones de registros vulnerados solo en 2024. Los cibercriminales intermediarios de datos recopilan y organizan los datos robados en paquetes masivos para cualquiera dispuesto a pagar el precio. Las direcciones de correo electrónico están asociadas con una amplia gama de información robada, como números de identificación gubernamental, empleadores y proveedores de servicios.
Fortra prevé que los ciberdelincuentes utilicen estos datos para personalizar aún más sus ataques, utilizando información sobre las personas, sus familias, sus compañeros de trabajo, etc. Los ciberdelincuentes especializados en la caza de amenazas utilizarán los datos para perfilar a víctimas de alto valor y encontrar vulnerabilidades que puedan explotar. Las amenazas por correo electrónico de todo tipo se volverán más personalizadas, lo que las hará más difíciles de ignorar y más convincentes.
Las herramientas de desarrollo, correo electrónico, servicios empresariales, etc., proporcionan a los ciberdelincuentes infraestructura gratuita. Estos servicios suelen ser versiones «freemium» con funciones básicas en comparación con las versiones premium. Sin embargo, lo básico es todo lo que los ciberdelincuentes necesitan para lanzar ataques.
Los ciberdelincuentes explotan los servicios de firma electrónica
Las plataformas de firma electrónica fueron el tipo de servicio legítimo más abusado, siendo DocuSign el servicio de firma electrónica más abusado en 2024. Un gran volumen de amenazas por correo electrónico que usaban DocuSign se utilizaron para enviar correos electrónicos y archivos adjuntos maliciosos.
Para los ciberdelincuentes, abusar de servicios legítimos ofrece mejoras de eficiencia e infraestructura confiable. Los beneficios son demasiado atractivos como para no aprovecharlos. Las empresas que ofrecen servicios gratuitos se resisten a implementar medidas de verificación más estrictas antes de su uso. Hacerlo generaría fricción y obstaculizaría la satisfacción inmediata que buscan los clientes.
En cambio, se basan en informes de abuso y otras medidas reactivas para limpiar el abuso una vez que ocurre. A falta de incentivos regulatorios o de mercado más sólidos que fomenten medidas proactivas contra el abuso por parte de los proveedores de servicios legítimos, es probable que el abuso persista y aumente. Los ciberdelincuentes intentarán explotar la mayor cantidad posible de infraestructura confiable, utilizándola para eludir los controles de seguridad y presentar a las víctimas ataques de phishing más convincentes .
En 2025, la ingeniería social y los ataques de vishing se sofisticarán gracias al uso de IA generativa para crear diálogos sin errores. El idioma dejará de ser un obstáculo, abriendo la puerta a señuelos más ingeniosos y convincentes.
“La incorporación de IA y herramientas confiables, junto con una cantidad inimaginable de datos personales robados, significa que las campañas de phishing actuales tienen más probabilidades que nunca de comprometer a los usuarios”, afirmó Matt Reck , director ejecutivo de Fortra.
Fuente y redacción: helpnetsecurity.com
