Investigadores de Proofpoint, plataformas especializadas en ciberseguridad y cumplimiento normativo, han observado un incremento preocupante en ataques a cuentas cloud de Microsoft 365 pertenecientes a altos ejecutivos de grandes empresas. Según informes, más de 100 organizaciones globales han sido víctimas en los últimos seis meses, afectando a un total de 1.5 millones de empleados mediante el envío de unos 120,000 emails de phishing.
Estos ataques se efectúan con la ayuda de EvilProxy, una herramienta de phishing que emplea una arquitectura de proxy inverso. Esta tecnología permite a los atacantes robar credenciales que están protegidas por autenticación multifactor (MFA) y cookies de sesión. Pese al incremento en la adopción de MFA en los últimos años, desde el medio de seguridad OpenSecurity señalan que al menos el 35% de los usuarios que han sido comprometidos durante el último año contaban con esta medida de protección activada.
Lo que añade gravedad a esta tendencia es el surgimiento de servicios de Phishing-as-a-Service (PhaaS). Estos servicios, habilitados por kits de código abierto, permiten a individuos con poca o ninguna habilidad técnica llevar a cabo campañas de phishing utilizando herramientas preconfiguradas como EvilProxy.
Los atacantes están usando métodos cada vez más sofisticados para eludir medidas de seguridad, incluida la autenticación multifactor. Entre estos métodos se incluye el uso de automatización avanzada que permite a los ciberdelincuentes determinar en tiempo real el perfil de su víctima, permitiéndoles concentrar sus esfuerzos en cuentas más lucrativas.
Ambas plataformas de ciberseguridad subrayan la importancia de adaptarse a las cambiantes tácticas de los ciberdelincuentes. Las amenazas más recientes, incluidos los ataques de proxy inverso, han expuesto serias brechas en las estrategias de defensa de las organizaciones.
Para protegerse de estas amenazas avanzadas, tanto Proofpoint como OpenSecurity recomiendan una serie de medidas: bloquear y monitorizar emails maliciosos, identificar y controlar la toma de cuentas y el acceso no autorizado a recursos en entornos cloud, aislar sesiones potencialmente maliciosas y, por último pero no menos importante, educar a los usuarios sobre los riesgos asociados con las tácticas de phishing modernas.
«Las credenciales de los empleados son un tesoro para los ciberdelincuentes, y no todas tienen el mismo valor», advierten desde los equipos de investigación de Proofpoint. «Nuestra investigación muestra que las técnicas y los métodos de los atacantes deben evolucionar constantemente para seguir siendo efectivos, incluso contra medidas de seguridad robustas como la MFA. Una vez que ganan acceso, estos actores maliciosos pueden operar sin ser detectados, poniendo en riesgo no solo datos individuales sino también activos corporativos».
Este artículo subraya la necesidad imperante de mantenerse actualizado y vigilante en un paisaje de ciberseguridad en constante evolución.
