Debido a que la pandemia de COVID-19 ha obligado a todas las industrias a trabajar de manera remota, las compañías han buscado nuevas herramientas y alternativas para comunicarse, siendo muchas de ellas aplicaciones de trabajo convencionales que pueden figurar como una oportunidad de oro para los cibercriminales.
Por ejemplo, el número de usuarios activos de Microsoft Teams alrededor del mundo pasó de 20 millones de usuarios a 75 millones desde marzo. Un crecimiento semejante se observa en el uso de aplicaciones similares como Slack, Zoom y Google Meet. Sin embargo, no es solamente el número de usuarios el que aumentó, sino también las interacciones a través de aplicaciones SaaS. En México, el uso de videoconferencia por medio de Microsoft Teams incrementó hasta en un 41%.a finales de abril.
Muchas compañías ya se encontraban en la ruta para digitalizar sus actividades, sin embargo, estos nuevos números reflejan la aceleración que ha tenido este proceso derivado de la pandemia. La rápida transformación de todos los negocios, ha abierto una ventana de oportunidad para los cibercriminales.
Los atacantes están utilizando aplicaciones de trabajo cuyo nombre es reconocido y que las compañías utilizan para trabajar, lanzando campañas de ataques en correos electrónicos, también conocido como phishing.
El mes pasado Darktrace detectó uno de estos intentos de ataque mientras que su sistema de seguridad se encontraba en modo pasivo en los sistemas de una empresa multinacional. La tecnología de Darktrace, Antigena, identificó la llegada de 48 correos que simulaban notificaciones de Microsoft Teams, pero que en realidad eran de un remitente y dominio desconocido. Los correos electrónicos contenían una liga que llevaba a un sitio de almacenamiento de Google, oculto en el texto “Aceptar Colaboración”.
Las ligas con documentos de almacenamiento son generalmente usadas debido a que logran pasar los filtros de correos no deseados. Si bien las ligas como tal no son consideradas como maliciosas, pueden contener archivos con malware u otro tipo de contenido dañino. Este tipo de ataques puede pasar desapercibido por las herramientas tradicionales de seguridad, sin embargo, el sistema de inteligencia artificial de correo electrónico Antigena Email detectó que el sitio web simulaba a la página de inicio de sesión de Microsoft. Si bien el URL no lo identifica como algo malicioso, es altamement inusual que un dominio de Google contenga una página de inicio de una sesión de Office.
Si el sistema Antigena se hubiera encontrado en modo activo, hubiera reconocido el intento de los atacantes de hacerse pasar por estas aplicacciones de trabajo colaborativas para distribuir ligas de phishing. Es más, no hubiera permitido que esos correos electrónicos llegaran a la bandeja de entrada. Debido a que esta tecnología se encontraba en fase de prueba por la multinacional, la inteligencia artificial notificó al equipo de seguridad, dándole tiempo aún de reaccionar oportunamente para evitar mayores daños.
Ninguno de los 48 correos electrónicos enviados fue detectado por los sistemas de seguridad de Microsoft, y 12 de estos correos electrónicos fueron abiertos por el receptor. Adicionalmente, los correos fueron enviados en orden alfabético, razón por la cual es posible pensar que los atacantes tenían acceso al directorio de la compañía y hubieran podido continuar con el ataque, poniendo en riesgo a más empleados. El sistema de correo electrónico Antigena Email identificó la actividad maliciosa e inmediatamente alertó al equipo de seguridad de la compañía internacional.
La nueva normalidad significa trabajar más desde casa, además de una mayor dependencia de aplicaciones SaaS y de la “nube”. Los cibercriminales lo saben y lo ven como una gran oportunidad durante este periodo de inestabilidad y adaptación.
Este caso debe ser una llamada de atención para hacer saber a todos que las aplicaciones de trabajo también representan riesgos, sobre todo debido a que los nombres de empresas reconocidas son utilizados para atacar a los empleados. Las compañías deben adoptar tecnologías avanzadas que puedan detectar este tipo de amenazas para actuar antes de que se ocasione cualquier daño. Como consecuencia, todos los sectores, desde el educativo, el financiero y la administración pública, deben contar con sistemas de seguridad para combatir los ataques que cada vez son más complejos.
Por Dan Fein, Director de Productos de Seguridad para Correos Electrónicos de Darktrace.