[21/08/2023] Aunque existen similitudes entre ambas, las tomas de control de cuentas corporativas (CATO, por sus siglas en inglés) suelen tener mayores implicaciones que las brechas que afectan a cuentas individuales y pueden provocar importantes pérdidas financieras, daños a la reputación y poner en peligro información empresarial sensible.
"En el entorno corporativo, el objetivo principal es evitar que los atacantes obtengan las credenciales de sus empleados", afirma Akif Khan, analista de ciberseguridad de Gartner. "Y eso puede consistir en unos cuantos vectores de ataque diferentes. Están los vectores de ataque de ingeniería social más tradicionales, y los vectores de ataque que podrían incluir malware que se coloca en su dispositivo de alguna manera, que registraría sus pulsaciones de teclado y buscaría credenciales que se guardaron en su dispositivo".
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Según el Informe trimestral sobre amenazas de Expel del primer trimestre del 2023, los ataques basados en la identidad [compromiso de cuentas, toma de control de cuentas corporativas y robo de claves de acceso de larga duración] representaron el 57% de todos los incidentes identificados en el primer trimestre del 2023.
Ataques comunes que pueden conducir a ataques de toma de control de cuentas corporativas
Las herramientas y técnicas que utilizan los ciberdelincuentes son similares tanto para los consumidores como para las empresas, pero el impacto de una apropiación de cuenta corporativa puede ser mucho más significativo, afirma Michael Halstead, director general de finanzas y seguros de Launch Consulting.
Según Halstead, los vectores de ataque que utilizan los malos actores incluyen:
- Phishing: Sigue siendo un método de ataque popular, ya que se ha vuelto mucho más sofisticado con estrategias evasivas, como pruebas para evitar las herramientas defensivas habituales. La inteligencia artificial (IA) también ha creado nuevos retos con correos electrónicos de phishing casi perfectos. Los mensajes de texto SMS también se han convertido en una técnica popular, ya que, a diferencia del correo electrónico, los teléfonos móviles no disponen de filtros potentes para bloquear los mensajes de texto que contienen spam o intentos de suplantación de identidad.
- Pretexting: El equivalente humano del phishing, en el que un atacante crea un pretexto falso, por ejemplo, haciéndose pasar por una persona con autoridad, para engañar a los empleados para que revelen información sensible o realicen determinadas acciones.
- Compromiso del correo electrónico empresarial (BEC): Se dirige específicamente a las cuentas de correo electrónico de las empresas. Los atacantes comprometen o suplantan cuentas de correo electrónico de ejecutivos o empleados para engañar a otros dentro de la organización o a partes externas para que realicen acciones fraudulentas. Esto puede incluir transferencias bancarias, cambio de detalles de pago o revelación de información sensible. En el 2022, la Unidad de Denuncias de Delitos en Internet (IC3) del FBI recibió 21.832 denuncias de BEC con pérdidas ajustadas de más de 2.700 millones de dólares.
- Ingeniería social: Utiliza la psicología humana y la confianza para manipular a las personas, a menudo empleados, para que divulguen información sensible o concedan acceso no autorizado. Al igual que el phishing, los ataques de ingeniería social se han vuelto mucho más sofisticados con el uso de IA para hacerse pasar por entidades legítimas a través de llamadas telefónicas o video.
- Llamadas telefónicas haciéndose pasar por entidades legítimas: Los atacantes se dirigen a ejecutivos de empresas, socios comerciales o instituciones financieras, para engañar a los empleados para que revelen credenciales de inicio de sesión, detalles de la cuenta o información confidencial, que luego pueden ser utilizados para obtener acceso no autorizado a cuentas corporativas.
- Deepfakes: El uso de IA para crear una grabación de video o audio de un ejecutivo o colega de alto rango para engañar a un empleado para que transfiera fondos, comparta datos confidenciales o le dé a un atacante el control de una cuenta corporativa. Es probable que el deepfake se haga más frecuente a medida que se produzcan avances en IA y aumenten las noticias de ataques exitosos.
- Aprovechamiento de la información privilegiada: Los ciberdelincuentes utilizan a sus empleados para que les ayuden a hacerse con cuentas corporativas. La motivación puede ser económica, afinidad con una causa concreta o amenazas de chantaje. Se puede convencer a los empleados o a las personas con acceso privilegiado para que abusen de sus privilegios en beneficio propio o con fines malintencionados.
Según Tom Hegel, investigador de amenazas de SentinelLabs, "un ataque de toma de control de cuentas corporativas puede producirse por una gran variedad de objetivos únicos en función de los intereses u objetivos específicos de los atacantes, además de quién pueda ser el objetivo".
"Por ejemplo, solemos observar campañas oportunistas de malware de robo asociadas a la escena del crimeware de mayor envergadura: el robo de credenciales de cuentas de empleados de empresas normales", afirma Hegel. En estos ataques oportunistas, los atacantes roban fácilmente las credenciales utilizadas por los empleados para acceder a sitios web de terceros, como las cuentas bancarias de las empresas, afirma.
"Y lo que es más preocupante, los ataques pueden tratar de obtener los datos de acceso de un empleado a la red de la empresa o a una plataforma de comunicaciones, como el correo electrónico o la mensajería", explica Hegel. Estos datos, ahora en manos del atacante, pueden utilizarse de diversas formas para beneficiarle económicamente. El robo financiero directo, el robo de datos, o incluso la venta del acceso que tienen a partes interesadas, son todos escenarios muy probables que ocurren hoy en día".
Tipos de organizaciones corporativas objetivo de estos ataques
Cualquier organización que haga negocios en línea puede ser objetivo de un ataque CATO, aunque principalmente estos ataques se dirigen a entidades corporativas que realizan transacciones financieras en línea, afirma Sourya Biswas, director técnico de gestión de riesgos y gobernanza de la consultora de seguridad NCC Group.
Halstead está de acuerdo y añade que, aunque cualquier organización corre el riesgo de sufrir una toma de control de cuentas corporativas, los malhechores suelen dirigirse a determinadas organizaciones debido a su tamaño, disponibilidad de fondos y tipo de datos y secretos valiosos. Las instituciones financieras, las organizaciones sanitarias y los organismos públicos son algunos de los objetivos habituales.
Gil Vega, director de seguridad de la información de Veeam Software, afirma que los atacantes han realizado muchos intentos contra los empleados de su empresa.
"Por lo general, lo que ocurre es que un atacante, que suele formar parte de una empresa criminal bien financiada en el extranjero, envía a alguien un mensaje de texto convincente, un correo electrónico o un enlace de phishing en el que espera que el destinatario haga clic", explica. "Y una vez que se haga clic en él, se lanzará algún tipo de software malicioso que permita la conectividad directa entre el atacante y la víctima".
Sin embargo, Vega añade que ninguno de esos intentos ha tenido éxito todavía. "La razón es que una de las cosas más importantes que se pueden hacer para prevenir esto es aumentar la concienciación de los empleados", afirma. "Y aquí en Veeam gastamos muchas calorías asegurándonos de que nuestros empleados entienden la amenaza. Lo hacemos a través de simulaciones, de requisitos de formación obligatorios, de atestados de políticas. Nos mantenemos al tanto de nuestros empleados con esta información cada trimestre con diferentes campañas que ponen a prueba nuestra capacidad para resistir este tipo de intentos".
Las instituciones financieras son objetivo frecuente de los ataques CATO
Vega también coincide en que los actores maliciosos a menudo se dirigen a las instituciones financieras, señalando el exitoso ataque CATO a la plataforma de corretaje Robinhood en noviembre del 2021. La compañía dijo que en ese ataque que "La parte no autorizada realizó ingeniería social a un empleado de atención al cliente por teléfono, y obtuvo acceso a ciertos sistemas de atención al cliente".
El atacante robó una lista de direcciones de correo electrónico de unos cinco millones de individuos y los nombres completos de otros dos millones de individuos, según la compañía. El pirata informático también obtuvo los nombres completos, fechas de nacimiento y códigos postales de 310 de los clientes de Robinhood y detalles más amplios de las cuentas de 10 clientes, aunque la empresa señaló que ese pirata informático no obtuvo los números de la Seguridad Social, números de cuentas bancarias o números de tarjetas de débito de los clientes, y ninguno había sufrido pérdidas financieras.
Sin embargo, después de que Robinhood contuviera la intrusión, el atacante exigió un pago de extorsión. En consecuencia, Robinhood "informó rápidamente a las fuerzas de seguridad y siguen investigando el incidente con la ayuda de Mandiant, una empresa de seguridad externa". El resultado de la investigación no está claro.
Otro ejemplo es Twitter, sostiene Halstead. "[En el 2020] los atacantes obtuvieron acceso a los sistemas internos de Twitter a través de un esquema de ingeniería social y phishing dirigido a los empleados", comenta. "Los malos actores se apoderaron de una herramienta interna de administración de TI que se utilizaba para gestionar cuentas. Aprovecharon cuentas destacadas, incluidas las de personas y empresas de alto perfil, como Coinbase, y las utilizaron para promover una estafa de criptomoneda". Los hackers robaron más de 118 mil dólares en Bitcoin.
Seis buenas prácticas para defenderse de los ataques de apropiación de cuentas corporativas
Aunque no hay una sola práctica y control de seguridad que pueda prevenir los ataques de CATO, varias utilizadas en combinación (defensa en profundidad), pueden reducir significativamente el riesgo, señala Biswas. Éstas son las seis mejores prácticas para prevenir los ataques de apropiación de cuentas corporativas
Defensa en profundidad: Las empresas deben aplicar un enfoque de defensa en profundidad, afirma Halstead. Mantener una postura de seguridad saludable, sigue siendo primordial para prevenir la apropiación de cuentas corporativas, entre otros ciberataques.
"Las organizaciones deben implementar capas de defensa que incluyan la gestión de vulnerabilidades, la segmentación de la red, el filtrado de correo electrónico/web, la detección y monitorización de intrusiones, la gestión de riesgos de terceros y la respuesta a incidentes".
Autenticación multifactor (MFA) y más para el acceso a cuentas en línea: Es importante contar con una autenticación multifactor sólida en todas las cuentas corporativas, afirma Bryan Willett, CISO de Lexmark.
"Lo que estamos descubriendo con algunos de los últimos servicios de phishing que existen, como EvilProxy, es que se están volviendo muy buenos imitando una pantalla de inicio de sesión que se parece a la pantalla de inicio de sesión corporativa y a su desafío MFA corporativo", señala Willett. "Y el usuario tiene la posibilidad de ser víctima de eso y compartir su MFA".
Sin embargo, aunque las empresas deben seguir mejorando su MFA, también deben seguir estudiando métodos MFA más avanzados, como las claves Fido, afirma Willet. Pero esos métodos más avanzados suponen una inversión, por lo que las organizaciones deben decidir si van a invertir en ellos.
Estrategias sólidas de gestión de accesos: Aplicar medidas sólidas de gestión de accesos es esencial, sobre todo mediante la utilización de herramientas de gestión de accesos privilegiados, según Halstead.
"Y las revisiones periódicas de acceso en las que también participen terceros son de suma importancia", afirma. "Es vital establecer procedimientos tanto para el personal que entra como para el que sale de la organización para mantener el principio del menor privilegio".
Medidas contextuales de gestión de accesos: Las organizaciones también deben implantar una gestión de acceso contextual que tenga en cuenta la ubicación actual del usuario, el dispositivo que utiliza, la hora de acceso, el entorno de red, los patrones de comportamiento y otra información contextual, según Halstead.
"De este modo, se puede minimizar significativamente el riesgo de accesos no autorizados, que a menudo se aprovechan para apropiarse de cuentas corporativas", afirma.
Sólida supervisión de la seguridad: En Lexmark, la supervisión de la seguridad corre a cargo del equipo de operaciones de seguridad. "Realizan una función de 24 horas al día, siete días a la semana, en la que supervisan todas las alertas que salen de nuestros conjuntos de herramientas", afirma Willett.
"Los conjuntos de herramientas abarcan todo, desde la detección y respuesta de puntos finales hasta nuestros sistemas de identidad. Por ejemplo, en identidad, uno de los desencadenantes que se produce con frecuencia cuando alguien intenta comprometer el correo electrónico de la empresa es algún tipo de alerta de tipo viaje, en la que vemos que alguien ha iniciado sesión en un lugar y, de repente, aparece en una parte muy diferente del mundo, lo que hace saltar la alarma".
Educación y formación de los empleados: un cortafuegos humano: La formación y concienciación de los empleados es fundamental, afirma Halstead. Este "firewall humano" sigue siendo una defensa muy importante para evitar la apropiación de cuentas corporativas.
"Asegúrese de educar y formar periódicamente a los empleados sobre los riesgos asociados a la apropiación de cuentas corporativas, especialmente a aquellos profesionales con acceso privilegiado o que trabajan en áreas muy específicas, como pagos y finanzas", afirma.
Esto incluye concienciar a los empleados de los aspectos clave que deben buscar en un correo electrónico para saber que se trata de un mensaje malicioso o que tiene algún tipo de intención maliciosa, afirma Willett. "Todo, desde el remitente hasta la URL que intentan enviarte", explica. "Si hace clic en la URL y ve una pantalla de inicio de sesión, asegúrese de que la pantalla de inicio de sesión vaya a un dominio o URL que tenga sentido. No debería ser Joe's Smoke Shop el sitio al que se conecta".
Basado en el artículo de Linda Rosencrance (CSO) y editado por CIO Perú