A estas alturas todos sabemos que la ingeniería social implica el uso de la manipulación psicológica para engañar a las víctimas con el fin de que divulguen información confidencial. Y no es un descubrimiento precisamente novedoso.
Según hemos podido saber mediante una búsqueda en Internet, la primera vez que se utilizó y registró el término «phishing» fue el 2 de enero de 1996.
En el pasado, los correos electrónicos de phishing solían ser bastante fáciles de detectar: errores gramaticales y ortográficos, traducciones pésimas, gráficos cutres, etc.
Pero gracias a los modernos kits de phishing, y a la llegada de herramientas de inteligencia artificial, no hace falta ser diseñador gráfico, ni licenciado en filología, para crear mensajes totalmente creíbles.
Una plataforma que ha demostrado ser particularmente atractiva para los esquemas de phishing es Microsoft 365.
El acceso a los buzones de correo, los datos y otros servicios de Microsoft 365 se controlan mediante credenciales (por ejemplo, un nombre de usuario y una contraseña o PIN).
Además, últimamente Microsoft utiliza por defecto MFA.
Eso implica iniciar sesión con el típico método de nombre de usuario y contraseña, para seguidamente, confirmar el acceso a la cuenta de M365, mediante una aplicación instalada en el teléfono móvil (Microsoft Authenticator).
Pero imaginemos este escenario.
Un alto ejecutivo del departamento financiero de una empresa (llamémosle Julián) recibe un correo electrónico supuestamente de Microsoft, solicitando sus credenciales de Microsoft 365 para una actualización del sistema.
El dominio adecuado que Julián debería ver en el remitente del mensaje es microsoft.com.
Sin embargo, los piratas informáticos intentan imitar el dominio oficial de Microsoft insertando texto, o caracteres adicionales, (por ejemplo microsoft_service.com.)
A pesar de la naturaleza sospechosa del correo electrónico, Julián hoy tiene un mal día, y proporciona sus credenciales.
Esto permite a los piratas informáticos acceder a su bandeja de entrada de Microsoft Outlook, para echar un vistazo y ver lo que contiene (clientes, proveedores, direcciones de facturación, etc.)
A eso se le denomina Compromiso de Correo electrónico Empresarial. Business Email Compromise en inglés (BEC.)
Una vez obtenida la información, el villano registra varios nombres de dominio que varían ligeramente del nombre de dominio legítimo de la empresa en la que trabaja Julián (por ejemplo infosecuri.net o infosenur.net, en lugar de infosegur.net).
Luego, el pirata informático solicita varias cuentas de prueba de Microsoft Office 365 utilizando estos «dominios falsos».
Después utiliza estas cuentas de prueba para enviar correos electrónicos de phishing a los clientes de la empresa con facturas y datos bancarios fraudulentos.
Normalmente, los ciberdelincuentes elegirán una cuenta de la zona única de pagos en euros (SEPA), porque Microsoft supone que un IBAN de la UE, es una dirección de cuenta legítima.
A la hora de realizar la apertura de la cuenta bancaria, utilizarán documentos falsos (ya no les viene de un delito.)
Algunos clientes caen en la estafa y transfieren fondos a esta cuenta.
Los sinvergüenzas se apoderan del dinero y desaparecen.
Consecuencias
Al darse cuenta de que algo no anda bien, Julián se pone inmediatamente en contacto con la empresa registradora de los dominios, y también con Microsoft.
La primera ignora sus llamadas, y Microsoft, después de varias solicitudes, finalmente congela las cuentas de prueba gratuitas.
Pero Microsoft no facilita la información específica que el atacante ha descargado de su bandeja de entrada.
Al desconocer el alcance total del ataque, a la empresa no le queda otra que ponerse en el peor de los casos, e informar a todos los clientes que su información podría haberse visto envuelta en un incidente de seguridad.
Los esquemas de phishing afectan a las empresas todos los días sin importar su tamaño, industria o ubicación.
De hecho, a finales de 2023, los investigadores identificaron cientos de cuentas de usuario de Microsoft Office 365 comprometidas en docenas de entornos de Microsoft Azure.
Muchas de estas cuentas pertenecían a altos ejecutivos (director general, director financiero, director de ventas, etc.)
Sin duda, los prebostes son un objetivo muy goloso para los «phishers», ya que, normalmente, poseen privilegios e información confidencial que puede ser robada y monetizada.
Intentar engañar a directivos de una compañía se le llama «Caza de ballenas».
¿En qué nos afecta esta vaina a los usuarios particulares?
En primer lugar, si trabajamos en el departamento de facturación de una empresa (aunque no seamos un alto ejecutivo), nos puede pasar lo mismo que a Julián.
En segundo lugar, si somos clientes de la empresa donde trabaja Julián, y no estamos atentos a la procedencia de los correos electrónicos, podemos acabar pagando una factura a quien no debemos.
En tercer lugar, mediante este método, también podrían llegar a piratear nuestra cuenta de Microsoft 365 (personal o familiar).
Conclusión
Microsoft es conocido por sus herramientas de productividad que utilizan millones de personas y empresas en todo el mundo.
Sin embargo, la compañía podría ser un poco más proactiva en la defensa de estos productos.
