Imagen: jctabb/Shutterstock

La última escalada en la carrera armamentística de la ciberseguridad muestra que los actores de amenazas están rastreando sus objetivos en la nube a medida que comienzan a lanzar ataques difíciles de detectar al explotar dominios confiables propiedad de compañías como Google y Microsoft. Según una publicación de blog de la empresa de software de seguridad cibernética Proofpoint, las herramientas de colaboración en la nube como Microsoft 365, Azure, OneDrive, SharePoint, G-Suite y Firebase se utilizan para lanzar un número cada vez mayor de ciberataques, y su naturaleza alojada en la nube los hace difícil de detectar.

La percepción de autenticidad, escribió Ryan Kalember de Proofpoint en la publicación del blog, es un elemento clave para engañar a los usuarios para que abran correos electrónicos o archivos maliciosos. En 2020, se enviaron casi 60 millones de mensajes maliciosos desde las cuentas de Microsoft 365 y más de 90 millones provinieron de Gmail. Solo en el primer trimestre de 2021, se enviaron 7 millones de mensajes desde Office 365 y 45 millones desde Gmail, superando con creces los ataques por trimestre lanzados desde Gmail en 2020.

VER: Política de respuesta a incidentes de seguridad (Premium de TechRepublic)

El volumen de correos electrónicos maliciosos enviados desde Gmail y Office 365 en 2020 "superó el de cualquier botnet en 2020, y la reputación confiable de estos dominios, incluidos Outlook.com y Sharepoint.com, está aumentando la dificultad de detección para los defensores", dijo Kalember.

Según Proofpoint, el 95 % de las organizaciones fueron blanco de ataques de compromiso en la nube en 2020, y la mitad fue víctima de uno de los ataques. El treinta por ciento experimentó actividad posterior al ataque en su red, lo que demuestra que los atacantes que acceden a ella "pueden aprovechar las credenciales para iniciar sesión en los sistemas como impostores, moverse lateralmente a través de múltiples servicios en la nube y entornos híbridos, y enviar correos electrónicos atractivos disfrazados de empleados reales, orquestando posibles problemas financieros y pérdida de datos.

Proofpoint proporcionó varios ejemplos de mensajes maliciosos de cuentas de Microsoft Office 365 y Gmail. En un ejemplo, el ataque provino de una dirección ".onmicrosoft.com", una extensión común para las cuentas de Office 365, e incluía un enlace a un documento de Sharepoint que pretendía ser la nueva política corporativa de COVID-19. Una vez cargado, el documento abre una página de autenticación falsa diseñada para recolectar las credenciales de Office 365.

Los atacantes también usaron dominios confiables para robar cuentas de Zoom con páginas de autenticación falsas, y también se encontraron varias campañas que usaban archivos adjuntos maliciosos que contenían macros.

Dado que los atacantes utilizan dominios de confianza para evadir los filtros de correo electrónico, es fundamental que los profesionales de la seguridad se den cuenta de que el filtrado de mensajes no es el único enfoque para proteger a los empleados y los sistemas internos.

VER: Cómo administrar contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (República Tecnológica)

Los dominios de confianza como Office 365, Gmail, Onmicrosoft y otras extensiones que no son específicas de la empresa ya no se pueden considerar seguros ni confiables. El software de seguridad, los filtros de correo electrónico y los equipos de seguridad deben ajustar su postura para dar cuenta de este cambio, y los usuarios también deberán adaptarse. Asegúrese de tratar cualquier correo electrónico o enlace de servicio público como una amenaza potencial cuya seguridad debe verificarse comunicándose con el remitente sospechoso a través de una plataforma de comunicación separada y nunca respondiendo al correo electrónico enviado.