La seguridad del correo electrónico empresarial se enfrenta a una amenaza creciente y en constante evolución. Los ciberdelincuentes, conocedores de cómo funcionan las pasarelas de seguridad, han abandonado progresivamente los archivos adjuntos maliciosos en favor de los enlaces. Según un informe de Proofpoint, empresa especializada en ciberseguridad y cumplimiento normativo, los URLs maliciosos aparecen ahora cuatro veces más que los documentos adjuntos en los correos fraudulentos.
Pero el cambio de herramienta no es el único problema. Los atacantes también han perfeccionado sus métodos para sortear por completo los sistemas de análisis automatizado. Proofpoint ha identificado tres técnicas de evasión que ilustran hasta qué punto estas amenazas han madurado.
Técnica 1: El ataque oculto tras una pantalla de autenticación
El atacante incluye en el correo un enlace que aparenta pertenecer a servicios legítimos como OneDrive, Dropbox o DocuSign. Cuando el sistema de seguridad analiza la URL, únicamente encuentra una página de inicio de sesión, algo completamente habitual en esos servicios. El correo es clasificado como seguro y entregado al destinatario. Sin embargo, esa pantalla de autenticación puede ser un formulario de robo de credenciales, una trampa de phishing o un punto de descarga de malware. La amenaza solo se activa cuando el usuario introduce sus datos.
Técnica 2: El espejismo del sandbox
En este método más sofisticado, el servidor del atacante es capaz de distinguir si quien accede a la URL es un sistema de análisis automatizado o un usuario humano real. Si detecta un sandbox de seguridad, devuelve una página completamente inofensiva. Si el visitante es una persona, muestra el contenido malicioso. El resultado es que el sistema de seguridad da el visto bueno al enlace y lo entrega al usuario, quien recibe el ataque sin filtro alguno. Un juego del gato y el ratón en el que, por ahora, ganan los atacantes.
Técnica 3: La puerta trasera del calendario
Quizás la más ingeniosa: este ataque no utiliza el correo electrónico en absoluto. El ciberdelincuente identifica empresas que usan Google Workspace, obtiene direcciones de empleados y crea un evento de calendario con una URL de phishing y un archivo adjunto malicioso. En lugar de enviar la invitación, la guarda como borrador, con lo que aparece automáticamente en los calendarios de los afectados. Al operar a través de la capa de aplicación y no de la de transporte de correo, las pasarelas de seguridad no lo ven. El usuario recibe lo que parece una invitación legítima de una plataforma de confianza.
¿Cómo defenderse?
Los expertos de Proofpoint señalan que la protección basada en un único punto de inspección ya no es suficiente. La defensa efectiva requiere una monitorización continua y análisis posterior a la entrega del correo, incluyendo la reevaluación de URLs en el momento exacto en que el usuario hace clic en ellas, y no solo antes de que el mensaje llegue a la bandeja de entrada.
Igualmente importante es trasladar los controles de seguridad al navegador, el punto donde los usuarios interactúan directamente con el contenido. Desde ahí es posible analizar redirecciones en tiempo real, inspeccionar cada paso de la navegación del usuario y detectar comportamientos maliciosos en calendarios, documentos y plataformas de mensajería, cerrando así las vías de evasión que los atacantes explotan hoy con cada vez mayor eficacia.
