El robo de credenciales sigue en auge

Las amenazas que más temen las empresas españolas son aquellas relacionadas con el robo, cifrado y difusión de información confidencial, debido al daño económico y reputacional que pueden llegar a causar. Sin embargo, para que estas amenazas tengan efecto, primero han de acceder a las redes corporativas y, por ese motivo, desde hace meses venimos observando como aquellas amenazas relacionadas con el robo de credenciales siguen estando en los primeros puestos del ranking de detección en España.

Para conseguir engañar a sus víctimas, los delincuentes utilizan todo tipo de cebos y estratagemas, aunque un asunto lo suficientemente interesante en un correo que llegue a la bandeja de entrada sigue siendo una buena estrategia. Aprovechando el periodo estival, los delincuentes no han tenido ningún reparo en usar temas como supuestas subidas de sueldo y solicitudes de vacaciones para conseguir que los más curiosos muerdan el anzuelo y proporcionen sus credenciales de correo corporativo.

Tampoco han dudado en utilizar asuntos más técnicos pero igualmente efectivos con los usuarios como la campaña que anunciaba un problema con el puerto 587 y que amenazaba con borrar correos importantes e impedir el acceso a nuestra cuenta. Probablemente, más de un servicio de soporte haya recibido varias consultas relacionadas con este tema, aunque esto podría ser una buena señal, ya que significarían que los usuarios prefieren preguntar antes de pulsar a enlaces proporcionados en correos que se salen de lo habitual.

También el nombre de importantes redes sociales profesionales como LinkedIn han sido usadas recientemente por los delincuentes para robar estas credenciales. Tal es el caso de una campaña en la, supuestamente, el CEO de una destacada empresa nos habría enviado un mensaje importante que estaría esperando a que lo abriésemos, no sin antes solicitar nuestras credenciales de acceso a esta red social para usar nuestro perfil como plataforma para infectar a otros usuarios que tuviéramos entre nuestros contactos.

Envío de emails maliciosos

Y es que, una vez los delincuentes obtienen credenciales como las del correo corporativo, estos pueden suplantar la identidad del usuario para enviar mensajes dirigidos a clientes, proveedores u otras empresas sin relación comercial aparente pero que pueden llegar a saltarse los filtros de seguridad si estos no están debidamente implementados y configurados.

Buen ejemplo de ello son las continuas campañas que venimos observando durante los últimos meses y que también se han repetido durante el mes de agosto. Como ejemplo de esto, recientemente hemos analizado varios casos en los que el envío de emails conteniendo adjuntos maliciosos se producía desde remitentes legítimos, e incluso mucho de estos correos contenían los datos de contacto y logotipos de las empresas cuyas cuentas o servidores de correo habían sido comprometidos.

Tampoco debemos olvidar la suplantación de organismos oficiales como la Agencia Tributaria, que sigue siendo una de las estrategias preferidas de los delincuentes para conseguir que sus víctimas pulsen sobre enlaces maliciosos o ejecuten ficheros adjuntos infectados. De hecho, muchas de estas campañas propagan malware especializado también en el robo de credenciales, por lo que el número de víctimas continúa creciendo campaña tras campaña.

Además de las amenazas mencionadas, no debemos olvidar que el phishing bancario sigue muy presente. No solo va dirigido a usuarios de entidades de ámbito nacional como el banco Santander o el BBVA sino que los clientes de otros bancos mucho más pequeños y regionales también pueden ser víctimas de la suplantación de identidad. Así lo hemos podido comprobar durante agosto, cuando hemos detectado y analizado varias campañas dirigidas a los clientes de la entidad valenciana Caixa Ontinyent.

Vulnerabilidades y robo de código fuente

Agosto tampoco ha estado exento del descubrimiento y parcheos de vulnerabilidades, algunas tan importantes como las que obligaron a la empresa Apple a lanzar parches para varios de sus dispositivos. Varias de estas vulnerabilidades estaban siendo utilizadas activamente por atacantes, por lo que resulta altamente importante que los parches sean aplicados por los usuarios tan pronto como estas se encuentren disponibles.

De la misma forma, otra vulnerabilidad en unRAR para sistemas Linux y UNIX fue descubierta siendo explotada activamente por atacantes, a pesar de que existía un parche que la solucionaba desde mayo. Por su parte, Microsoft lanzó un parche para solucionar la vulnerabilidad DogWalk, también explotada activamente y que permitía la ejecución remota de código.

Por último, la aplicación de gestión de contraseñas confirmó la detección de un acceso no autorizado a sus sistemas. Sin embargo, todavía no se han encontrado evidencias de que el incidente haya permitido el acceso a contraseñas de clientes.