Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Intercambio Seguro de Archivos > Microsoft es un imán para los ataques de phishing: Aquí te mostramos cómo las empresas pueden proteger su contenido de correo electrónico confidencial

Microsoft es un imán para los ataques de phishing: Aquí te mostramos cómo las empresas pueden proteger su contenido de correo electrónico confidencial

by Robert Dougherty updated diciembre 3, 2024 Intercambio Seguro de Archivos
Reading Time: 10 minutes

Los ataques de phishing pueden tener un impacto devastador en las empresas, resultando en pérdidas financieras, daño reputacional y responsabilidades legales. Además, los ataques de phishing se están volviendo más sofisticados, con hackers que utilizan técnicas avanzadas como spear phishing, vishing y smishing para atacar a individuos y organizaciones específicas.

Una plataforma de software que ha demostrado ser particularmente popular para los ataques de phishing es Microsoft Office. En este artículo del blog, exploraremos los riesgos de phishing que enfrentan las empresas al usar Microsoft Outlook y discutiremos cómo las empresas pueden protegerse contra ataques de phishing dirigidos y whaling que amenazan con exponer comunicaciones de correo electrónico confidenciales y otros contenidos sensibles.

El Impacto Devastador del Phishing en las Empresas

El phishing sigue siendo un vector lucrativo y constante para los adversarios año tras año. Según el Informe Especial M-Tends 2023 de Mandiant, en 2022, el phishing volvió a ser el segundo vector más utilizado para la infección inicial en intrusiones, representando el 22% de las intrusiones donde se identificó el vector de infección inicial. Esto es un aumento del 12% de las intrusiones vistas en 2021.

El Informe de Tendencias de Seguridad Híbrida 2023 de Netwrix encuentra que el 68% de las organizaciones sufrieron un ciberataque en los últimos 12 meses; siendo el phishing el vector de ataque más común. El phishing sigue siendo el vector de ataque más común. En el informe, Dirk Schrader, VP de Investigación de Seguridad en Netwrix, señala que “Los correos electrónicos de phishing solían ser fáciles de detectar, gracias a errores gramaticales y ortográficos y gráficos obviamente incorrectos. Pero la llegada de herramientas de IA como ChatGPT facilitará a los actores de amenazas crear rápidamente mensajes bien formados, incluidos mensajes de spear phishing que apuntan a individuos específicos, que probablemente engañen a más destinatarios para que hagan clic en enlaces maliciosos o abran archivos adjuntos infectados.”

Cómo Funciona un Ataque de Phishing

Para entender los riesgos del phishing, considera este escenario ficticio. William Morgan, un miembro del equipo de finanzas de Tiger Manufacturing, recibe un correo electrónico de lo que él presume es Microsoft, solicitando sus credenciales de Microsoft 365 para una actualización del sistema.

A pesar de la naturaleza sospechosa del correo electrónico, William proporciona sus credenciales, lo que permite a los hackers acceder a toda su bandeja de entrada de Microsoft Outlook. El hacker luego registra múltiples nombres de dominio en GoDaddy que varían ligeramente del nombre de dominio de Tiger Manufacturing (por ejemplo, Tigger Manufacturing, Tiger Manufactering, Tiger Manufcaturing, etc.). El hacker luego registra varias cuentas de prueba de Microsoft Office 365 en estos dominios falsos.

El hacker luego utiliza las cuentas de prueba para enviar correos electrónicos de phishing a los clientes de Tiger Manufacturing con facturas fraudulentas y detalles bancarios. Algunos clientes caen en la estafa y transfieren fondos a una cuenta alemana. El hacker elige una cuenta alemana porque Microsoft considera un apartado postal alemán como una dirección de cuenta legítima.

Joseph, el director de seguridad de la información (CISO) de Tiger, identifica las tácticas poco sofisticadas, pero no obstante exitosas, del atacante y notifica a GoDaddy y Microsoft de inmediato. GoDaddy ignora sus llamadas y Microsoft eventualmente congela las cuentas de prueba gratuitas después de varias solicitudes.

Aunque Microsoft congela las cuentas de prueba gratuitas, no libera los detalles del syslog que podrían haber revelado los archivos y correos electrónicos específicos que el atacante descargó de la bandeja de entrada de Outlook de William. Por lo tanto, Tiger Manufacturing no conoce realmente el alcance completo del ataque y está obligado a tomar el peor camino posible e informar a cada cliente que podría haber sido vulnerado.

No Esperes que Microsoft te Proteja de un Ataque de Phishing

En primer lugar, Microsoft es una empresa de software enfocada en mejorar la productividad de la fuerza laboral. Aunque la empresa dirá que la seguridad es una prioridad, la productividad es la prioridad principal. Con casi 350 millones de usuarios globales de Microsoft Office 365, Microsoft está mal equipada para proteger a tantos usuarios. La plataforma, por lo tanto, siempre será susceptible al phishing.

Aunque Tiger Manufacturing es una empresa ficticia, los esquemas de phishing plagan a las empresas todos los días sin importar el tamaño, la industria o la ubicación. De hecho, a finales de 2023, investigadores identificaron cientos de cuentas de usuario de Microsoft Office 365 comprometidas en docenas de entornos de Microsoft Azure. Muchas de estas cuentas pertenecían a altos ejecutivos con títulos como Presidente/CEO, CFO/Tesorero, Director de Ventas, Gerente de Finanzas, y más. Los altos ejecutivos son objetivos populares de phishing ya que típicamente poseen privilegios para información sensible que puede ser robada y monetizada.

La campaña de phishing atrajo a los ejecutivos a hacer clic en botones de “Ver Documento” que redirigían a las víctimas a páginas que pedían credenciales de cuenta, proporcionando a los hackers acceso a información corporativa, financiera y de sistemas sensible.

En última instancia, las empresas no pueden confiar en Microsoft para prevenir, identificar o remediar ataques de phishing y apropiaciones de cuentas.

Variaciones de Ataques de Phishing

Los ataques de phishing se están volviendo más sofisticados a medida que los hackers despliegan técnicas cada vez más avanzadas, como la ingeniería social, la suplantación de identidad y el malware. La ingeniería social implica el uso de manipulación psicológica para engañar a la víctima y hacer que divulgue información sensible, mientras que la suplantación de identidad implica disfrazar el origen de un mensaje para que parezca legítimo. El malware puede usarse para infectar el dispositivo de una víctima y robar información o tomar el control del dispositivo.

Los ataques de phishing vienen en muchas formas diferentes, cada uno diseñado para engañar a las personas para que revelen información sensible o realicen acciones que podrían comprometer su información personal identificable o información de salud protegida (PII/PHI), registros de clientes, datos financieros, propiedad intelectual u otras formas de información sensible. Además del whaling, otros tipos de esquemas de phishing incluyen:

1. Whaling: Apuntando a Altos Ejecutivos para Obtener Información Sensible

El whaling, como vimos anteriormente con el reciente ataque a Microsoft Azure, es una forma dirigida de phishing en la que los ciberdelincuentes intentan acceder a información sensible de individuos de alto perfil como CEOs, CFOs u otros altos ejecutivos. Estos ejecutivos son particularmente vulnerables a los ataques de whaling, ya que a menudo tienen acceso a información más sensible y es menos probable que estén entrenados en las mejores prácticas de ciberseguridad.

Los atacantes utilizan tácticas de ingeniería social disfrazadas de correos electrónicos que parecen legítimos y que parecen provenir de otros altos ejecutivos o fuentes confiables. Si tienen éxito, el ejecutivo hace clic en un enlace malicioso, proporciona credenciales de inicio de sesión para una aplicación crítica para el negocio o envía documentos confidenciales. Los ataques de whaling a menudo son sofisticados y bien elaborados, lo que los hace difíciles de detectar y defender. Por lo tanto, es crucial que las organizaciones y sus empleados permanezcan vigilantes y tomen medidas adecuadas para proteger su información sensible contra tales ataques.

2. Phishing de Correo Electrónico Engañoso: Aprovechando Identidades Familiares pero Falsas

El phishing de correo electrónico engañoso es uno de los tipos más comunes de estafas de phishing. En un ataque de phishing de correo electrónico engañoso, un atacante envía un correo electrónico que parece ser de organizaciones legítimas o individuos conocidos. El correo electrónico contiene un enlace a un sitio web falso que se parece al real, pidiendo al usuario que proporcione información confidencial como contraseñas, números de cuenta o información de tarjetas de crédito. El correo electrónico también puede contener un archivo adjunto que, una vez descargado, instala malware en la computadora o dispositivo de la víctima.

3. Spear Phishing: Apuntando a un Objetivo Específico

El spear phishing es un tipo más avanzado de ataque de phishing que apunta a un individuo o grupo específico, a diferencia del enfoque más amplio y disperso del phishing. En un ataque de spear phishing, un atacante recopila información personal sobre un objetivo y la utiliza para crear un mensaje personalizado que aumenta las posibilidades de éxito. El correo electrónico puede pedir información específica, credenciales de inicio de sesión de cuenta o contener un enlace a un sitio web falso o un archivo adjunto malicioso.

4. Smishing: Phishing a través de Mensajes de Texto

El smishing es un tipo de ataque de phishing que utiliza mensajes de texto para engañar a los usuarios para que proporcionen información sensible o descarguen malware. El mensaje parece ser de una fuente legítima, como un banco o proveedor de servicios, y pide al usuario que proporcione información personal o haga clic en un enlace a un sitio web fraudulento.

5. Vishing: Phishing a través de Llamadas Telefónicas

El vishing es otra forma de ataque de phishing que utiliza llamadas telefónicas en lugar de correos electrónicos o mensajes de texto para engañar a los usuarios para que revelen información sensible o realicen acciones que normalmente no harían, como transferir dinero. En un ataque de vishing, un atacante puede hacerse pasar por un banco o proveedor de servicios y utilizar tácticas para persuadir a la víctima a proporcionar información confidencial o transferir fondos.

6. Phishing de Clonación: Manipulando Correos Electrónicos Legítimos

El phishing de clonación es un tipo de ataque de phishing en el que los atacantes duplican, o clonan, un correo electrónico legítimo, a menudo con el mismo contenido, pero con enlaces y archivos adjuntos diferentes—y a menudo maliciosos. El correo electrónico puede parecer provenir de una fuente confiable, como un banco o proveedor de servicios, y pedir a la víctima que proporcione información personal o sensible.

7. Pharming: Engañando a las Víctimas con Sitios Web Fraudulentos

El pharming es un tipo de ataque de phishing en el que los atacantes redirigen a los usuarios a un sitio web falso que parece ser legítimo. El sitio web está diseñado para robar credenciales de inicio de sesión o información financiera de la víctima. Los atacantes pueden usar malware o suplantación de DNS para redirigir a la víctima al sitio web falso.

8. Compromiso de Correo Electrónico Empresarial (BEC): Haciéndose Pasar por un Colega de Confianza

El BEC es un tipo de ataque de phishing que implica hacerse pasar por un compañero de trabajo, socio o proveedor de confianza para engañar a las víctimas para que transfieran dinero o compartan información sensible. En un ataque de compromiso de correo electrónico empresarial, un atacante puede usar una dirección de correo electrónico fraudulenta (como en el escenario ficticio de Tiger Manufacturing mencionado anteriormente) y solicitar una acción urgente, como una transferencia bancaria o cambiar la información de la cuenta. Este tipo de ataque de phishing puede resultar en pérdidas financieras significativas o violaciones de datos.

Las Brechas de Ciberseguridad en la Armadura de Microsoft: Ataques de Phishing Facilitados

Microsoft es ampliamente conocido por sus herramientas de productividad que son utilizadas por millones de personas y empresas en todo el mundo. Sin embargo, la defensibilidad de estos productos puede ser insuficiente. De hecho, hay varias brechas en la plataforma de Microsoft Office 365 que la hacen vulnerable a los ataques de phishing. Aquí hay algunos ejemplos:

Baja Visibilidad en la Actividad de Archivos Crea Brechas de Gobernanza

Una gran brecha de Microsoft Office 365 es la falta de visibilidad en el intercambio de contenido externo, es decir, quién está compartiendo qué contenido con quién. Las organizaciones no pueden proteger adecuadamente la propiedad intelectual, PII, PHI, contratos de ventas, datos financieros y otra información sensible si no saben dónde está almacenada, quién tiene acceso a ella o con quién la están compartiendo. Este nivel de visibilidad es fundamental para la gobernanza de contenido, protección y cumplimiento normativo. Mientras muchas empresas confían en Office 365 para compartir documentos y colaborar con terceros usando OneDrive y SharePoint Online, estas aplicaciones no proporcionan visibilidad adecuada. Con visibilidad y reportes insuficientes, las organizaciones aumentan su riesgo de una filtración de datos, violación de datos o violación de cumplimiento.

Pobre Filtrado de URL Invita a Ataques de Pharming

Las aplicaciones de Exchange Online y SharePoint Online de Microsoft carecen de un sistema robusto de filtrado de URL. El correo electrónico y el intercambio de archivos a través de estas aplicaciones pueden ser fácilmente duplicados, llevando a los usuarios a creer que están interactuando con una fuente confiable. Los hackers pueden explotar esta brecha enviando correos electrónicos de phishing o adjuntando archivos maliciosos que, cuando se acceden, infectan el dispositivo del usuario o roban sus credenciales de inicio de sesión.

Problemas de Confianza Cero: La Falta de Autenticación Multifactor Crea una Brecha de Seguridad Evidente

La falta de integración de principios de confianza cero por parte de Microsoft deja a sus clientes vulnerables al acceso no autorizado. Debido a la ausencia de autenticación multifactor en las aplicaciones de Microsoft, los ciberdelincuentes pueden explotar esta brecha usando relleno de credenciales, ataques de fuerza bruta o phishing para descubrir la contraseña de un usuario. Luego usan las credenciales del usuario para recopilar contenido sensible al que tienen acceso. Microsoft se detiene en el cifrado de un solo factor, dejando a las organizaciones vulnerables después de un ataque de phishing exitoso. Sin un segundo factor para verificar la legitimidad del usuario que inicia sesión, los ciberdelincuentes pueden explotar fácilmente esta brecha de seguridad para acceder a contenido sensible. Los arquitectos de seguridad deben asumir, por lo tanto, que algunos ataques de phishing tendrán éxito. Deben implementar autenticación multifactor en otros sistemas y aplicaciones en su lugar para limitar el daño causado por el acceso no autorizado.

Las Brechas de Seguridad de Correo Electrónico de Microsoft Invitan a Ataques de Phishing

Las medidas de seguridad de correo electrónico de Microsoft no son tan robustas como deberían ser. Mientras que la Protección de Exchange Online (EOP) de Microsoft ofrece cierta protección contra el spam y los virus, no logra detectar muchos ataques de phishing. La protección avanzada contra amenazas (ATP) de Microsoft es un servicio adicional para EOP, que puede potencialmente descubrir malware de día cero enviado a los usuarios como parte de un ataque de phishing, pero solo para aquellos clientes que pagan extra por el servicio.

Kiteworks Cierra las Brechas de Seguridad y Vulnerabilidades de Microsoft para Proteger a las Empresas de Ataques de Phishing, Violaciones de Datos y Violaciones de Cumplimiento

La Red de Contenido Privado de Kiteworks proporciona a las organizaciones una solución de correo electrónico segura que minimiza el riesgo de ataques de phishing, violaciones de datos y violaciones de cumplimiento. Con el correo electrónico seguro de Kiteworks, las empresas prácticamente eliminan el riesgo de correos electrónicos de phishing. Esto se debe a que Kiteworks es un sistema cerrado, solo por invitación. A diferencia de las plataformas de correo electrónico tradicionales, que permiten a cualquiera enviar un correo electrónico a cualquier otra persona, Kiteworks solo acepta correos electrónicos de individuos autorizados. Los ataques de phishing como el compromiso de correo electrónico empresarial, el phishing de clonación, el spear phishing y el whaling, así como el spam y otras estafas en línea, son por lo tanto casi imposibles de pasar.

Kiteworks también proporciona amplias capacidades de autenticación y gestión de usuarios, incluidas contraseñas de un solo uso (OTP) a través de cualquier servicio SMS como Twilio, CLX, CM y FoxBox, así como autenticadores de contraseña de un solo uso basados en tiempo (TOTP) que admiten tokens suaves de aplicaciones de autenticación como Google Authenticator, Microsoft Authenticator y Authy. Kiteworks también puede requerir que usuarios de un solo uso como destinatarios de correo electrónico se autentiquen a través de un código SMS para garantizar que solo los usuarios autorizados accedan al contenido de correo electrónico sensible.

Con Kiteworks, las empresas pueden monitorear todas las transferencias de archivos y el uso en toda la organización. Esta visibilidad asegura que cualquier actividad sospechosa como intentos de inicio de sesión fallidos, inicios de sesión desde una dirección IP desconocida y descargas sospechosas sean detectadas rápidamente, permitiendo una acción rápida para minimizar los riesgos potenciales. Además, Kiteworks se integra con las principales soluciones de prevención de pérdida de datos (DLP), por lo que si un atacante obtuviera las credenciales de un empleado e intentara exfiltrar contenido sensible a través de correo electrónico o intercambio de archivos, la solución DLP probablemente marcaría el intento y bloquearía la transferencia.

Kiteworks también ofrece un plugin de Microsoft Outlook que permite a los empleados de la empresa usar su aplicación de correo electrónico de Microsoft existente pero con todas las capacidades de seguridad y cumplimiento que ofrece Kiteworks. Con el plugin, los empleados usan una aplicación, Microsoft Office, con la que ya están familiarizados, por lo que las preocupaciones de adopción y utilización no son un problema. Los correos electrónicos se envían y reciben a través de la Red de Contenido Privado de Kiteworks, una red cerrada a la que los clientes, socios, proveedores y otras terceras partes de confianza deben ser invitados. Los correos electrónicos y sus archivos adjuntos están cifrados en tránsito y en reposo y cada archivo es rastreado y registrado.

El sistema de correo electrónico cerrado de Kiteworks, reforzado por MFA, visibilidad de actividad de archivos y DLP, prácticamente elimina los riesgos de phishing. La seguridad del contenido, la gobernanza y el cumplimiento se mejoran aún más mediante un enfoque de confianza cero definida por contenido que asegura que solo los usuarios autorizados puedan acceder a datos sensibles. Esto incluye un dispositivo virtual reforzado y opciones de implementación segura flexibles, incluidas en las instalaciones, nube privada y una nube privada virtual FedRAMP. Por último, con controles de acceso granulares, permisos basados en roles e integración de gestión de identidades y accesos (IAM), las empresas pueden estar seguras de que su contenido de correo electrónico sensible permanece confidencial.

Programa una demostración personalizada hoy y aprende más sobre las capacidades de correo electrónico seguro de Kiteworks.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks