El Servicio de Seguridad Interna de Estonia (KaPo) acaba de publicar su informe de 2019 (página 34), en el que encontramos un ataque de spearphising que merece la pena ser reseñado, ya que muestra un patrón de actuación singularmente peligroso, ya que puede no ser detectado hasta que sea demasiado tarde. Y el riesgo del mismo es que, sin nuestro conocimiento, todas las comunicaciones de la víctima son interceptadas por el atacante, que de este modo tendrá acceso a mensajes que deberían mantenerse en la más estricta privacidad.
Según las autoridades del país, hablamos de un atacante al servicio de las administraciones públicas de otro estado, lo que ya nos da una señal de que no nos encontramos frente a una campaña de phishing normal y corriente. Según se afirma en el informe, las víctimas del mismo fueron un selecto grupo de personas «de interés» (no se revelan más datos al respecto) que, además de eso, tienen en común haber sido usuarios del servicio de correo electrónico mail.ee, que tiene su origen en el mismo país.
MS Recomienda
Los autores del ataque spearphishing detectaron un exploit zero-day en dicho servicio, gracias al cuál era posible (ya se ha subsanado), que permitía, mediante código malicioso oculto en un mensaje, realizar acciones no autorizadas en la cuenta de correo del destinatario. Lo más preocupante es que para que el ataque fuera efectivo, tan solo era necesario que la víctima abriera el mensaje en el servicio web del proveedor del servicio. No tenía que abrir adjuntos ni nada por el estilo. Su simple recepción ya se traducía en un ataque exitoso.
A partir de ese momento, la cuenta de correo comprometido quedaba configurada para reenviar todos los mensajes recibidos en la cuenta a otro correo electrónico controlado por el atacante. Esto, claro, de manera que la víctima no fuera consciente de esta circunstancia. Y de esta manera, durante meses, todas las comunicaciones de las víctimas se han visto expuestas, ya que el atacante recibía copia de las mismas cómodamente en su buzón. Además, al tratarse de un exploit zero-day, ha tenido que pasar más tiempo hasta su identificación.
Hablamos, claro, de un tipo de ataque no demasiado común, puesto que es necesario que los atacantes den con un exploit que permita operar de esa manera. Pero poco común no significa que no sea reproducible en el futuro. Y debido a su alta capacidad de pasar inadvertido durante bastante tiempo, lo más recomendable es adoptar tantas medidas preventivas como estén en nuestra mano.
Evidentemente, la primera y más clara es optar por proveedores de servicios fiables, que sepamos que adoptan todo tipo de medidas de seguridad. Además, y relacionado tanto con la seguridad como con compliance, lo más recomendable es optar por empresas que operen en nuestro mismo espacio jurídico y, por lo tanto, se tengan que adaptar a la misma legislación que nosotros. Y por último, aunque no menos importante, lo más seguro sigue sigue siendo emplear el cifrado. Pero de este tema hablaremos próximamente en profundidad.
Fuente:https://www.muyseguridad.net