Los últimos informes de Proofpoint, líder en el ámbito de la ciberseguridad, revelan una escalada de ataques a cuentas de Microsoft 365 pertenecientes a altos ejecutivos de grandes corporaciones. En el último semestre, más de 100 organizaciones globales con un total de 1,5 millones de empleados han sido atacadas mediante el uso de la herramienta de phishing EvilProxy.
¿Qué es EvilProxy?
EvilProxy es una herramienta de phishing que emplea una arquitectura de proxy inverso. Esta tecnología permite a los ciberdelincuentes robar credenciales incluso protegidas por autenticación multifactor (MFA) y cookies de sesión. A pesar del creciente uso de MFA, los datos de Proofpoint muestran que al menos el 35% de los usuarios comprometidos el año pasado tenían MFA activada.
Phishing como Servicio (PhaaS)
Con la ayuda de kits de código abierto, el phishing como servicio (PhaaS) ha hecho que sea aún más sencillo para los atacantes perpetrar estas acciones maliciosas. A través de PhaaS, incluso individuos con habilidades técnicas limitadas pueden pagar por herramientas preconfiguradas, como EvilProxy, para atacar servicios online como Gmail, Microsoft, Dropbox, Facebook, y Twitter.
Evolución de las Tácticas de Ataque
Los ciberdelincuentes han ido más allá y combinado tácticas como el «Adversary-in-the-Middle» con otros métodos sofisticados de toma de control de cuentas. Una de las estrategias más efectivas observadas es una nueva automatización avanzada que les permite identificar en tiempo real si una cuenta pertenece, por ejemplo, a un directivo, y así focalizar sus esfuerzos en objetivos más lucrativos.
¿Cómo Protegerse?
Para mitigar estos riesgos, Proofpoint sugiere varias estrategias:
- Bloquear y controlar correos electrónicos maliciosos dirigidos a los usuarios.
- Identificar la toma de control de cuentas y el acceso no autorizado a recursos en la nube.
- Aislar sesiones potencialmente maliciosas iniciadas por enlaces en correos electrónicos.
- Educar a los usuarios sobre los riesgos asociados con estas amenazas.
Conclusión
«Las credenciales de los empleados son muy apreciadas por los ciberdelincuentes ya que ofrecen acceso a información corporativa valiosa», advierte el equipo de investigación de Proofpoint. «Pero no todas las credenciales son iguales, y los atacantes suelen tener objetivos específicos. Contrariamente a la creencia popular, la MFA no es infalible frente a amenazas sofisticadas basadas en la nube.»
Este aumento en los ataques destaca la necesidad de una defensa en capas y una continua adaptación a las nuevas tácticas de los ciberdelincuentes. A medida que estos atacantes se vuelven más sofisticados, las estrategias de defensa deben evolucionar de manera correspondiente para proteger eficazmente los activos empresariales.