Así es el juego de la evasión con el que los atacantes desactivan la seguridad del correo electrónico

La seguridad de las pasarelas de correo electrónico sirve para analizar los encabezados, el texto y cualquier adjunto de un mensaje potencialmente fraudulento. Si algo parece sospechoso, pone en cuarentena los archivos y las URLs que contiene el correo para observar su comportamiento. Quienes saben bien todo ese funcionamiento son los propios ciberdelincuentes, por lo que han cambiado su metodología de ataque. Anteriormente, estos preferían los archivos adjuntos maliciosos, pero cada vez más usan URLs maliciosas: un informe de la empresa de ciberseguridad y cumplimiento normativo Proofpoint revela que los enlaces aparecen ahora cuatro veces más a menudo en correos electrónicos maliciosos que los documentos adjuntos.

Los atacantes encuentran distintas fórmulas para eludir por completo la infraestructura de seguridad del correo electrónico. A continuación, Proofpoint detalla algunos ejemplos de ataque observados en los que se demuestra una estrategia de evasión diferente:

Ataque oculto tras un requisito de autenticación

Hay ocasiones en las que un atacante incluye un enlace que parece legítimo, como de OneDrive, Dropbox o DocuSign, en su mensaje. Cuando el sandbox de la pasarela de correo electrónico analiza la URL, solo encuentra una página de autenticación que requiere que los usuarios verifiquen su identidad. De cara al sistema de seguridad, es una verificación estándar para un servicio legítimo de intercambio de archivos, por lo que se entrega al destinatario.

En cambio, esa página podría ser un formulario de robo de credenciales, de descarga de malware o un phishing sofisticado. El ataque, detrás del requisito de autenticación, permanece invisible para el escaneo automatizado que había declarado el correo electrónico como seguro. La amenaza solo se revela una vez concluido el análisis de seguridad y se ha convencido al usuario de que se autentique, convirtiendo eficazmente una autenticación legítima en un mecanismo de evasión. 

El espejismo del sandbox

En este ataque más sofisticado, la infraestructura web del ciberdelincuente está diseñada para detectar si un visitante es humano o un sistema de seguridad automatizado.

Cuando un correo electrónico con una URL maliciosa llega a la pasarela, el sistema de seguridad lo abre en un entorno de sandbox para analizar su comportamiento antes de la entrega. Sin embargo, el servidor web del atacante analiza las solicitudes HTTP entrantes para diferenciar entre sandboxes y usuarios reales. Si la solicitud parece provenir de un sandbox, el servidor del atacante redirige a una web completamente benigna. Como resultado, el sistema de seguridad analiza la URL, determina que el contenido es seguro y entrega el email.

Mientras tanto, cuando un usuario hace clic en el mismo enlace, el servidor del atacante redirige al contenido malicioso. Todo esto crea un juego del gato y el ratón en el que salen perdiendo los defensores.

Una puerta trasera para explotar la confianza

En Google Calendar, los ciberdelincuentes pueden eludir por completo las pasarelas de seguridad de correo electrónico, ya que es un ataque que no implica el envío de ningún email. Lo primero que hace el atacante es identificar que la compañía utiliza Google Workspace, luego crea una cuenta gratuita de Gmail, obtiene una lista de direcciones de correo electrónico de empleados de la compañía y crea un evento de calendario con los correos de los empleados objetivo, una URL de phishing incrustada en los detalles del evento y un archivo adjunto malicioso sobre una supuesta reunión. En lugar de hacer clic para enviar la invitación, el atacante guarda el evento del calendario como borrador y, en segundos, aparece en los calendarios de los objetivos. Cuando se crean invitaciones de calendario dentro de Google, se sincronizan entre cuentas sin activar mecanismos tradicionales de entrega de email.

La amenaza opera en la capa de aplicación, no en la capa de transporte de correo electrónico y, desde la perspectiva del usuario, todo lo que ve es una invitación de calendario legítima, que llegó a través de una aplicación de confianza, por lo que no hay razón para sospechar.

Defenderse de estas tácticas de evasión requiere cambiar el enfoque de la seguridad. Los expertos de Proofpoint recomiendan una protección de correo electrónico integral y en profundidad que proporcione monitorización continua y análisis posterior a la entrega, en vez de un único punto de inspección. Esto incluye una reevaluación de URLs en el instante en que los usuarios acceden a ellas e incluso después de la entrega del correo electrónico, así como una detección de anomalías en patrones de interacción del usuario.

Los controles de seguridad deben operar asimismo donde los usuarios interactúan con el contenido: el navegador. Esta protección puede analizar redireccionamientos y URLs multinivel en tiempo real, inspeccionar amenazas en cada página del recorrido de un usuario y detectar comportamientos maliciosos en calendarios, documentos y plataformas de mensajería.

“El trabajo se vuelve cada vez más colaborativo y en la nube, de ahí que los atacantes adapten sus técnicas para explotar relaciones de confianza en aplicaciones integradas. Los casos descritos no son hipotéticos, son ataques que ya están ocurriendo en empresas reales. Un sistema de seguridad de correo electrónico no puede proteger absolutamente todo, lo que deja la puerta abierta a riesgos”, afirman los investigadores de Proofpoint.  “La tecnología no puede reemplazar la importancia que tiene la concienciación sobre seguridad para que los usuarios entiendan por qué deben sospechar de las URLs que requieren autenticación inmediata, cómo reconocer y reportar invitaciones inusuales de terceros, así como entender que ningún control es infalible, por lo que su juicio sigue siendo una capa de defensa crítica”.