Los atacantes tienden a no escatimar esfuerzos para diseñar ataques de correo corporativo comprometido (BEC, por sus siglas en inglés). Cuando se presenta alguien que dice estar autorizado para transferir fondos o enviar información confidencial, necesitas observar lo más detenidamente posible sus mensajes frente a uno legítimo. Los detalles son de importancia.
Recientemente llegó a nuestro poder un ejemplo interesante de un correo electrónico enviado al empleado de una empresa en un intento de iniciar una conversación.
El texto es bastante preciso y adusto para el tipo de correo en cuestión. El atacante deja en claro que el remitente está en una reunión, de modo que no se le puede contactar por ningún otro medio. Hacen eso para desalentar al destinatario de comprobar si en realidad están recibiendo mensajes de la persona cuyo nombre aparece en la firma. Y como los atacantes no intentaron ocultar el hecho de que el correo se envió desde un servicio público de correo electrónico, ellos sabían que la persona que estaban imitando usaba el servicio o esperaban que fuera común para la empresa usar un servicio de correo electrónico de terceros para la correspondencia comercial.
Pero fue otra cosa lo que llamó nuestra atención: la firma “Enviado desde mi iPhone”. Dicha firma pertenece a los ajustes por defecto de la aplicación Mail de iOS para los mensajes de salida; sin embargo, los encabezados técnicos sugieren que el mensaje se envió a través de una interfaz web, específicamente del navegador Mozilla.
¿Por qué los atacantes intentan aparentar que su mensaje se envió desde un smartphone de Apple? La firma automática se pudo haber añadido para hacer que el mensaje luzca más serio. Pero ese no es el truco más astuto que hay. Con frecuencia, los ataques BEC parecen provenir de un compañero de trabajo; las probabilidades de éxito son buenas en este caso, pues el destinatario sabía con qué tipo de dispositivo cuenta esa persona.
Así pues, los criminales sabían lo que hacían. ¿Pero cómo pueden hacerlo? De hecho, no es difícil. Todo lo que se necesita es hacer cierta labor de reconocimiento usando un pixel de seguimiento, también conocido como faro o baliza web (web beacon).
Qué es un pixel de seguimiento y por qué se le usa
En general, las empresas que envían correos masivos a los clientes, los socios o los lectores (es decir, casi todas las empresas) desean saber qué nivel de interacción logran. En teoría, el correo electrónico tiene una opción incorporada para enviar confirmaciones de lectura, pero los destinatarios deben aceptar su uso, lo cual la mayoría rechaza. Así pues, a los astutos mercadólogos se les ocurrió crear el pixel de seguimiento.
Un pixel de seguimiento es una imagen diminuta. Con apenas un pixel de alto por uno de ancho, resulta imperceptible para el ojo; se alberga en el sitio web, de modo que cuando un cliente solicita la imagen, el remitente que controla el sitio recibe la confirmación de que el mensaje se abrió, así como la dirección IP del dispositivo receptor, el tiempo que el correo estuvo abierto e información sobre el programa que se usó para abrirlo. ¿Has notado que un cliente de correo electrónico no muestra imágenes hasta que haces clic para descargarlas? Esto no es para mejorar el rendimiento o limitar el tráfico. De hecho, las descargas automáticas de imágenes comúnmente se encuentran desactivadas por defecto por motivos de seguridad.
¿Cómo puede un cibercriminal aprovecharse del pixel de seguimiento?
He aquí un escenario: mientras estás de viaje en el extranjero, te llega un mensaje a tu bandeja de entrada del trabajo que parece ser pertinente para tu empresa. No bien te das cuenta de que se trata de una solicitud no deseada, lo cierras y lo eliminas, pero mientras tanto, el atacante se enteró de lo siguiente:
- Estás en otro país, a juzgar por tu dirección IP. Eso significa que es difícil el contacto personal con los compañeros de trabajo. Así, puede resultarles seguro imitarte;
- Utilizas un iPhone (abriste el mensaje con la aplicación Mail para iOS), así que añadir la firma “Enviado desde mi iPhone” le añadirá credibilidad al correo falso;
- Leíste el correo a las 11:00 A.M. Por sí solo eso no es importante, pero si recibes mensajes regularmente, los cibercriminales podrán adivinar tu horario y sincronizar un ataque para que coincida con un lapso en el cual no estás disponible.
¿Cómo puedes desactivar esa labor de reconocimiento?
Protegerse de un ataque es difícil. Eso no significa que debas dejarles las cosas más fáciles a los cibercriminales. Te damos los siguientes consejos:
- Si tu cliente de correo te invita a “hacer clic aquí para descargar imágenes”, eso significa que el contenido visual se ha bloqueado por motivos de privacidad. Piensa antes de permitirlo. El correo electrónico puede lucir feo sin imágenes, pero si aceptas descargarlas, le proporcionarás a desconocidos información sobre ti y tu dispositivo.
- No abras el correo electrónico que se deposite en tu carpeta de spam. Los filtros de spam modernos tienen un nivel extremadamente elevado de precisión, especialmente si tu servidor de correo electrónico está protegido por nuestra tecnología.
- Ten cuidado con los envíos de correo masivo B2B. Una cosa es suscribirte deliberadamente a las noticias de una empresa, pero otra muy distinta es cuando un correo proviene de una empresa anónima por motivos desconocidos. En este último caso, lo mejor es no abrir el mensaje.
- Utiliza soluciones seguras con tecnologías avanzadas de antispam y antiphishing para proteger tu correo corporativo.
Tanto Kaspersky Total Security for Business (que forman parte de Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server y Kaspersky Secure Mail Gateway) y Kaspersky Security for Microsoft Office 365 incluyen la tecnología antispam y antiphishing.