Teams, Slack y Zoom se convierten en los nuevos campos de batalla en ciberseguridad
- Endpoint
A menudo, se da por sentado que los mensajes enviados a través de herramientas de colaboración son legítimos, pero esa confianza puede verse truncada con los atacantes suplantando la identidad de empleados. Al creer que una solicitud es legítima, el usuario hace clic en la URL e introduce sus credenciales.
El entorno de trabajo digital se ha expandido más allá del correo electrónico, y los ciberdelincuentes han puesto sus miras en las plataformas de colaboración como Microsoft Teams, Slack y Zoom, entre otras, para eludir las defensas y comprometer cuentas de usuarios. Según Proofpoint, esto es parte de la dinámica cambiante de los ataques, pero también tiene mucho que ver con que las organizaciones dependen de estas herramientas de mensajería para conectar a equipos distribuidos, especialmente en épocas de mayor teletrabajo como el verano.
Entre 2021 y 2024, el equipo de investigación de amenazas de Proofpoint ha observado un alarmante aumento del 2.524% en las amenazas con URL maliciosas, el método más habitual de distribución de cargas, a través del phishing por SMS, en comparación a las enviadas por correo electrónico que sólo aumentaron un 119%. Sorprendentemente, la mayoría de las plataformas de colaboración no cuenta con capacidades de seguridad nativas para detectar y bloquear enlaces maliciosos. Como resultado, los ciberdelincuentes las utilizan para lanzar ataques sofisticados, aprovechándose de comportamientos habituales de los empleados.
Aplicaciones colaborativas como nuevo vector de ataque
A menudo, se da por sentado que los mensajes enviados a través de herramientas de colaboración son legítimos, ya que proceden al parecer de compañeros de trabajo, pero esa confianza puede verse truncada con los atacantes suplantando la identidad de empleados, especialmente directivos, o de equipos de TI.
Además, a diferencia del correo electrónico, estas aplicaciones colaborativas fomentan las respuestas rápidas, lo cual hace que los usuarios actúen sin verificar enlaces o solicitudes. A su vez, los atacantes utilizan esta sensación de urgencia para presionar a los usuarios para que compartan sus credenciales, realicen pagos o hagan clic en enlaces maliciosos.
En Teams, por ejemplo, los atacantes suelen bombardear con emails que saturan la bandeja de entrada con suscripciones no deseadas. En medio de este caos, el ciberdelincuente entra en acción haciéndose pasar por el soporte técnico: envía un mensaje con una solicitud urgente, junto con un enlace malicioso para solucionar el supuesto problema. Al creer que esta solicitud es legítima, el usuario hace clic en la URL e introduce sus credenciales, entregándolas sin saberlo al atacante. Ahora tiene acceso completo no solo a la cuenta del usuario sino a toda una organización, lo que pone en riesgo los datos y sistemas críticos.
“Tan rápido como las empresas adoptan estos canales digitales, los ciberdelincuentes encuentran formas de explotarlas como nuevo vector de ataque para dirigirse a personas con phishing, malware y apropiaciones de cuentas sin limitarse únicamente al correo electrónico”, señala el equipo de investigación de amenazas de Proofpoint. “Para mantenerse al día con las amenazas en constante evolución, las organizaciones deben proteger todas las plataformas con el mismo nivel de protección que utilizan para el correo electrónico”.
Existen actualmente soluciones de seguridad que inspeccionan y comprueban la reputación de las URL en tiempo real para bloquear automáticamente el acceso a las maliciosas en el momento del clic. Este enfoque garantiza que los usuarios estén protegidos en cualquier lugar y en cualquier momento contra los ataques de phishing avanzados, independientemente de si ven estos enlaces desde un ordenador o un dispositivo móvil.
