{"id":26033,"date":"2022-12-20T19:21:47","date_gmt":"2022-12-21T01:21:47","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26033"},"modified":"2023-03-05T19:33:55","modified_gmt":"2023-03-06T01:33:55","slug":"email-threats-in-2022","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/email-threats-in-2022\/26033\/","title":{"rendered":"Amenazas por mail en 2022"},"content":{"rendered":"<p>La pandemia modific\u00f3 completamente el panorama de las amenazas por correo electr\u00f3nico. La fuga masiva hacia el <em>home office<\/em> y la transferencia inevitable de gran parte de las comunicaciones al formato online gener\u00f3 un aumento tanto del <em>phishing<\/em> como de los ataques <a href=\"https:\/\/latam.kaspersky.com\/blog\/what-is-bec-attack\/17937\/\" target=\"_blank\" rel=\"noopener\">BEC<\/a>. El flujo constante de mensajer\u00eda comercial hace que para los ciberdelincuentes sea mucho m\u00e1s sencillo ocultar sus correos electr\u00f3nicos entre la pila de mensajes leg\u00edtimos, por lo que imitar la correspondencia comercial se ha convertido en un vector de ataque muy relevante. Tambi\u00e9n han nacido muchos otros trucos de ingenier\u00eda social, como las notificaciones que piden a la v\u00edctima a responder a un mail cuanto antes. Estas son las tendencias principales que observamos durante 2022:<\/p>\n<ul>\n<li>El aumento en los env\u00edos de <em>spam<\/em> con contenido malicioso para infectar la computadora de la v\u00edctima.<\/li>\n<li>El uso activo de t\u00e9cnicas de ingenier\u00eda social en correos electr\u00f3nicos maliciosos m\u00e1s t\u00edpicos del <em>spear<\/em> <em>phishing<\/em> (como agregar firmas para simular departamentos espec\u00edficos, utilizar l\u00e9xico comercial y contexto apropiado para la empresa objetivo, aprovechar eventos del momento, referirse a empleados reales de la empresa, y m\u00e1s).<\/li>\n<li>La expansi\u00f3n del <em>spoofing<\/em>: el uso de direcciones de correo electr\u00f3nico con nombres de dominio parecidos a los organizaciones objetivo reales (solo difieren en un par de caracteres).<\/li>\n<\/ul>\n<p>Como resultado, quienes crean spam malicioso logran disfrazarlo de mensajes internos o correspondencia comercial entre empresas e, incluso, como notificaciones de agencias gubernamentales. Aqu\u00ed algunos de los ejemplos m\u00e1s ilustrativos que vimos durante este a\u00f1o:<\/p>\n<h2>El malware en correos electr\u00f3nicos<\/h2>\n<p>La principal tendencia de este a\u00f1o fue el env\u00edo de correos maliciosos disfrazados de correspondencia comercial. Para que el destinatario abra un archivo adjunto o descargue un archivo en un enlace, los ciberdelincuentes tratan de convencerlo de que el correo electr\u00f3nico tiene informaci\u00f3n comercial importante, como una oferta o la factura por la entrega de alg\u00fan producto. Usualmente, el malware se coloca en un archivo cifrado, cuya contrase\u00f1a se proporciona en el cuerpo del mensaje.<\/p>\n<p>Por ejemplo, durante todo el a\u00f1o vimos lo siguiente: los atacantes obten\u00edan acceso a correspondencia comercial genuina (quiz\u00e1 rob\u00e1ndola de computadoras previamente infectadas) y mandaban correos nuevos a todos los participantes con archivos o enlaces maliciosos. En otras palabras, desarrollaron la conversaci\u00f3n de forma plausible. Esta artima\u00f1a hace que sea m\u00e1s dif\u00edcil detectar los correos electr\u00f3nicos maliciosos y crezca la posibilidad de que alguien muerda el anzuelo.<\/p>\n<p>En la mayor\u00eda de los casos, al abrir el documento malicioso, el troyano Qbot o Emotet era cargado. Ambos pueden robar datos de usuarios, recopilar informaci\u00f3n en una red corporativa y distribuir otro malware como ransomware. Adem\u00e1s, Qbot puede usarse para acceder al correo electr\u00f3nico y robar mensajes; o sea, es una fuente de correspondencia para ataques futuros.<\/p>\n<p>Conforme llega el fin de a\u00f1o, las estrategias de los correos electr\u00f3nicos maliciosos resultan cada vez m\u00e1s ingeniosas. Por ejemplo, a principios de diciembre, los estafadores que se hac\u00edan pasar por una organizaci\u00f3n ben\u00e9fica ped\u00edan a las v\u00edctimas que se deshicieran de sus antiguos equipos. Claro que, para ello, las empresas deb\u00edan descargar un archivo que supuestamente conten\u00eda la lista de dispositivos aceptados. En realidad, el archivo adjunto era un archivo protegido con contrase\u00f1a con un ejecutable malicioso oculto.<\/p>\n<p>En otra campa\u00f1a de correo electr\u00f3nico, los atacantes mandaron decenas de miles de archivos que conten\u00edan un troyano de puerta trasera que permit\u00eda el control remoto de la computadora infectada, bajo la apariencia de facturas. Lo m\u00e1s interesante es que el archivo adjunto ten\u00eda extensiones como .r00, .r01, etc. Es probable que sus creadores quisieran hacer pasar el archivo adjunto como parte de un gran archivo RAR en un intento de eludir los sistemas de protecci\u00f3n autom\u00e1tica configurados para ciertas extensiones de archivo.<\/p>\n<h2>Falsas notificaciones gubernamentales<\/h2>\n<p>Los mail que imitan notificaciones oficiales de los ministerios y otros departamentos gubernamentales han sido muy frecuentes este a\u00f1o. Esta tendencia resalt\u00f3 principalmente en el sector de habla rusa de internet. Los correos electr\u00f3nicos de este tipo se adaptan al perfil de la organizaci\u00f3n en espec\u00edfico, por lo que, por lo general, la direcci\u00f3n del remitente se parece al dominio real del departamento y el archivo adjunto malicioso suele tener un t\u00edtulo importante, como \u201cComentarios sobre los resultados de la reuni\u00f3n\u201d. Uno de esos archivos adjuntos contiene un c\u00f3digo malicioso para explotar una vulnerabilidad en el Editor de ecuaciones, un componente de Microsoft Office.<\/p>\n<h2>Aprovechar las tendencias del momento<\/h2>\n<p>En el sector de internet de habla rusa, igual vimos un aumento en la actividad del correo electr\u00f3nico malicioso seg\u00fan las temporalidades vigentes. Por ejemplo, en octubre, los ciberdelincuentes distribuyeron malware bajo la apariencia de \u00f3rdenes de convocatoria, aprovechando la \u201cmovilizaci\u00f3n parcial\u201d de Rusia. Los correos electr\u00f3nicos citaban el C\u00f3digo Penal Ruso, usaban el escudo y el estilo del Ministerio de Defensa y ped\u00edan al destinatario que descargara la orden mediante un enlace que dirig\u00eda a un archivo con un <em>script<\/em> que creaba un archivo ejecutable.<\/p>\n<p>Adem\u00e1s, registramos un correo electr\u00f3nico que simulaba provenir de las fuerzas del orden rusas. El mensaje invitaba a la v\u00edctima a descargar una \u201cnueva soluci\u00f3n\u201d para protegerse contra las amenazas online de organizaciones \u201chostiles\u201d. No obstante, la realidad era que el programa que se instalaba la computadora era un troyano ransomware.<\/p>\n<h2>C\u00f3mo protegerse<\/h2>\n<p>Cada a\u00f1os las estrategias de los ciberdelincuentes se vuelven m\u00e1s sofisticadas y los m\u00e9todos para imitar la correspondencia comercial, m\u00e1s convincentes. Entonces, para proteger la infraestructura corporativa ante los ataques de correo electr\u00f3nico, hay que poner atenci\u00f3n a las medidas organizativas adem\u00e1s de las t\u00e9cnicas. O sea, adem\u00e1s de contar con soluciones de seguridad tanto en el nivel del <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security\/mail-server?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">servidor de correo corporativo<\/a> como en los <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">dispositivos<\/a> conectados a Internet, recomendamos impartir de forma regular <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">formaciones en materia de ciberseguridad<\/a> para empleados<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>\u00bfQu\u00e9 estrategias son las m\u00e1s populares entre los remitentes de e-mail malicioso durante 2022?<\/p>\n","protected":false},"author":2704,"featured_media":26034,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[5861,5860,3796,31,1262],"class_list":{"0":"post-26033","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-amenazas-en-correo-electronico","9":"tag-amenazas-en-el-correo-electronico","10":"tag-bec","11":"tag-phishing","12":"tag-troyanos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/email-threats-in-2022\/26033\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/email-threats-in-2022\/24974\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/email-threats-in-2022\/20471\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/email-threats-in-2022\/27541\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/email-threats-in-2022\/25305\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/email-threats-in-2022\/28418\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/email-threats-in-2022\/27451\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/email-threats-in-2022\/34405\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/email-threats-in-2022\/46582\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/email-threats-in-2022\/20133\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/email-threats-in-2022\/20731\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/email-threats-in-2022\/29783\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/email-threats-in-2022\/33023\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/email-threats-in-2022\/28757\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/email-threats-in-2022\/25677\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/email-threats-in-2022\/31352\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/email-threats-in-2022\/31054\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas-en-el-correo-electronico\/","name":"amenazas en el correo electr\u00f3nico"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26033","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2704"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26033"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26033\/revisions"}],"predecessor-version":[{"id":26035,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26033\/revisions\/26035"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26034"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26033"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26033"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26033"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}