El cibercrimen como servicio dirigido al email corporativo aumentó un 38% entre 2019 y 2022

Es la conclusión en la que se centra la cuarta edición de su informe trimestral sobre amenazas, Cyber Signals, realizado por Microsoft. Los ataques BEC con éxito cuestan a las organizaciones cientos de millones de dólares al año y se distinguen en la industria del cibercrimen por su énfasis en la ingeniería social y el arte del engaño. Entre abril de 2022 y abril de 2023, La Unidad de Delitos Digitales de Microsoft Threat Intelligence detectó e investigó 35 millones de intentos BEC, lo que supone una media de 156.000 intentos diarios de este tipo de ataques. La compañía realizó 417.678 eliminaciones únicas de URL de phishing entre mayo de 2022 y abril de 2023 y ha detectado, además, nuevas tácticas con las que este tipo de ataques podrían realizarse a escala industrial

Los intentos de ataques BEC pueden realizarse de muchas formas, incluso a través de llamadas telefónicas, mensajes de texto, correos electrónicos o redes sociales. La suplantación de mensajes de solicitud de autenticación y la suplantación de identidad de individuos y empresas también son tácticas comunes.

En lugar de explotar vulnerabilidades en dispositivos sin parches, los ciberdelincuentes buscan explotar la gran cantidad de tráfico diario de correo electrónico y otros mensajes para atraer a las víctimas y conseguir que proporcionen información financiera o incluso que envíen fondos sin saberlo a cuentas de mulas de dinero, que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.

Los expertos de la firma ha observado un aumento en la sofisticación de las tácticas delictivas especializadas en el compromiso del correo electrónico empresarial (BEC), mediante el uso de plataformas de CaaS. La compañía destaca la utilización de las direcciones IP residenciales para hacer que las campañas de ataque parezcan generadas localmente. Con esta táctica, los ciberdelincuentes pueden evadir las alertas de ‘viaje imposible’ (es decir, las que marcan las restricciones físicas que indican que una tarea se está realizando en dos ubicaciones, sin la cantidad adecuada de tiempo para viajar de una ubicación a otra).

Campañas a escala industrial
Microsoft ha observado también una tendencia significativa en el uso de plataformas, como BulletProftLink por parte de los atacantes, un popular servicio para crear campañas de correo malicioso a escala industrial. BulletProftlink vende un servicio de extremo a extremo que incluye plantillas, alojamiento y servicios automatizados para realizar este tipo de ataques. Los adversarios que utilizan este sistema de CaaS también reciben direcciones IP que les guían y orientan en su actividad maliciosa.

Los delincuentes que utilizan esta plataforma reciben credenciales y la dirección IP de la víctima. A continuación, compran direcciones IP de servicios de IP residenciales que coinciden con la ubicación de la víctima, creando proxies de IP residenciales que les permiten enmascarar su origen. De este modo, los atacantes BEC pueden ocultar sus movimientos, eludir etiquetas de ‘viaje imposible’ y abrir una puerta de entrada para realizar más ataques.