Microsoft y Google se han convertido en las infraestructuras más usadas por los ciberdelincuentes para alojar y distribuir amenazas en los últimos meses a través de los servicios de Office 365, Azure, OneDrive, SharePoint, G-Suite y Firebase. Proofpoint, empresa de ciberseguridad y cumplimiento normativo, calcula que el año pasado se han despachado más de 59,8 millones de mensajes maliciosos desde Microsoft Office 365 que tenían como objetivo a sus clientes corporativos. A esto se suman más de 90 millones de envíos por parte de atacantes a través de Google, el 27% mediante Gmail que es a día de hoy la plataforma de correo electrónico preferida por los usuarios. Mientras, en el primer trimestre de 2021 ya se han observado siete millones de comunicaciones maliciosas por Microsoft Office 365 y otros 45 millones de mensajes procedentes de Google, superando los ataques registrados por trimestre únicamente en esta última plataforma durante 2020.
“Si en todo el mundo las organizaciones han adoptado rápidamente distintas herramientas de colaboración en la cloud, los ciberdelincuentes tampoco se han quedado atrás. Todo este volumen de mensajes maliciosos ha superado con creces la actividad de cualquier botnet en 2020, pero en este caso la reputación y fiabilidad de los dominios dificulta aún más la detección de amenazas”, comenta Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint.
Esa percepción de autenticidad es fundamental para los atacantes. Recientemente, el correo electrónico se ha posicionado de nuevo como principal vector de ataques de ransomware, con especial interés en la cadena de suministro y el ecosistema de partners de las empresas para conseguir comprometer cuentas, robar credenciales y desviar fondos. Además, habida cuenta de los accesos que pueden conseguir a través de una sola cuenta cloud, los ciberdelincuentes han intentado atacar en el último año al 95% de las organizaciones con este objetivo, registrando más de la mitad de estas al menos un compromiso en su seguridad. Asimismo, más del 30% experimentó otras acciones posteriores al acceso de los atacantes, como manipulación de archivos o reenvío de correos. Con unas simples credenciales, los ciberdelincuentes pueden iniciar sesión en los sistemas, moverse lateralmente entre servicios cloud y entornos híbridos, convencer a otros usuarios de que son empleados de la organización atacada y ocasionar pérdidas económicas o de datos.
Entre las recientes campañas de amenazas detectadas en Microsoft y Google, desde Proofpoint muestran distintos ejemplos como un intento de phishing de credenciales con una URL de Microsoft SharePoint que supuestamente dirigía a un documento con directrices sobre la Covid-19, previo registro en una página de autenticación diseñada para sustraer credenciales. Los ciberdelincuentes también han echado mano de las tan recurridas videoconferencias, aunque estas fueran falsas y bajo el nombre de dominio “.onmicrosoft.com”, para hacerse con información de acceso de los usuarios, o bien engañar a los empleados de contabilidad de una organización a través de un correo de Gmail que incluía un documento de Word comprimido y protegido por contraseña que, una vez activados los macros, lanzaba el ransomware Xorist.
“Nuestras investigaciones sobre amenazas demuestran claramente que los atacantes están utilizando tanto la infraestructura de Microsoft como la de Google para difundir sus mensajes maliciosos y dirigirse a los usuarios, aprovechándose de herramientas de colaboración muy populares”, señala Kalember. “Si a esto añadimos que hay un incremento de ransomware y de compromisos de cuentas cloud, es necesario que las organizaciones y los líderes en seguridad sigan priorizando una protección avanzada del correo electrónico centrada en las personas”.