Hoy en día sabemos que la gran mayoría de las amenazas cibernéticas comienzan con un correo electrónico. Además, en las condiciones de trabajo remoto que vivimos actualmente, esto es más cierto que nunca.
Un estudio reciente informa sobre un aumento del 30,000% en phishing, sitios web y malware dirigido a usuarios que trabajan de forma remota.
Muchas herramientas de seguridad de correo electrónico fallan al detectar amenazas que encuentran por primera vez. Otra técnica de ataque, que será el foco de este texto, es la creación rápida y generalizada de nuevos dominios para evadir las verificaciones de seguridad.
El reciente aumento en la creación de dominios
Desde el brote de coronavirus, Darktrace ha visto aumentar en 130,000 el número de dominios registrados relacionados con COVID-19. En este momento, el 60% de todas las amenazas de spear phishing neutralizadas por Antigena Email estaban relacionadas con COVID-19 o el trabajo remoto.
Otro estudio reciente determinó que cada día se crean 10,000 dominios relacionados con el coronavirus, de los cuales, aproximadamente, nueve de cada diez son maliciosos o intentan generar ventas de productos falsos.
Dado que los atacantes también se aprovechan de los cambios en los comportamientos en línea derivados de la pandemia, otra tendencia que han visto es la proliferación de la palabra clave ‘Zoom‘ en algunos de los dominios impopulares que omiten las herramientas tradicionales, a medida que los atacantes aprovechan el reciente aumento de la plataforma de videoconferencias.
Compra de nombres de dominio: un círculo vicioso
Comprar miles de nuevos dominios y enviar correos electrónicos maliciosos en masa es una técnica probada que los ciberdelincuentes han estado aprovechando durante décadas. Ahora con la automatización, lo están haciendo más rápido que nunca.
He aquí por qué funciona: las herramientas de seguridad tradicionales funcionan analizando los correos electrónicos de forma aislada, comparándolos con listas negras estáticas de «males conocidos». A modo de analogía, la herramienta actúa como un guardia de seguridad, parado afuera de las instalaciones físicas de una organización, preguntando a cada individuo que ingresa: «¿Eres malicioso?»
La respuesta binaria a esta única pregunta se obtiene analizando algunos metadatos alrededor del correo electrónico, incluida la IP del remitente, su dominio de dirección de correo electrónico y cualquier enlace o archivo adjunto. Estos datos se analizan al pie de la letra, sin tener en cuenta la relación entre ellos, el destinatario y el resto del negocio. También se realizan verificaciones de reputación y se pregunta: «¿He visto esta IP o dominio antes?» Si la respuesta es no, los dejan pasar directamente.
Es decir, si el dominio es completamente nuevo, no tendrá reputación, y si estas herramientas tradicionales tienen una capacidad limitada para identificar elementos dañinos por cualquier otro medio, no tienen más remedio que dejarlos entrar.
Estos métodos apenas rascan la superficie de una gama mucho más amplia de características que puede contener un correo electrónico malicioso. Y a medida que las amenazas de correo electrónico se vuelven cada vez más sofisticadas, el enfoque de “inocente hasta que se pruebe su culpabilidad» no es suficiente.
Para una verificación exhaustiva, nos gustaría hacer las siguientes preguntas: ¿El dominio tiene alguna relación previa con el destinatario? ¿Con la organización en su conjunto? ¿Es similar a otros dominios? ¿Es la primera vez que veo un correo electrónico de este usuario? ¿Alguien en la organización ha compartido alguna vez un enlace con este dominio? ¿Alguno de los usuarios ha visitado este enlace?
Haciendo las preguntas correctas
Afortunadamente, la solución a este problema es tan simple como el problema mismo. Requiere un alejamiento del enfoque actual y hacia la implementación de tecnología que esté a la par de la velocidad y la escala de los atacantes de hoy.
En los últimos dos años, han surgido nuevas tecnologías que aprovechan la inteligencia artificial, buscando comprender al ser humano que está detrás de la dirección de correo electrónico. En lugar de inspeccionar el tráfico entrante a nivel de superficie y hacer preguntas binarias, este cambio de paradigma, lejos de este enfoque tradicional insuficiente, hace las preguntas correctas: no simplemente «¿Eres malicioso?», sino «¿Perteneces a esta bandeja de entrada?».
En lugar de colocar dominios y direcciones IP desesperadamente en la lista negra, en un intento fallido de vencer a los atacantes, podemos cambiar el juego por completo, inclinando la balanza a favor de los defensores, asegurando nuestras bandejas de entrada y nuestras organizaciones.
Por: Dan Fein, director de Email Security para Darktrace en América.