El píxel de seguimiento al servicio de los ciberdelincuentes

Los atacantes no escatiman en esfuerzos a la hora de diseñar ataques de compromiso de correos electrónicos corporativos (BEC, por sus siglas en inglés). Cuando se hacen pasar por alguien autorizado para transferir fondos o enviar información confidencial, sus mensajes deben parecer lo más legítimo posible. Aquí los detalles son de gran importancia.

Hace poco llegó a nuestro poder un ejemplo interesante de un correo electrónico enviado a un empleado de una empresa con la intención de iniciar una conversación.

Hola, avísame cuando estés disponible. Necesito que hagas algo, pero ahora tengo que entrar a una reunión, así que, simplemente responde al correo. Saludos. Enviado desde mi iPhone

El texto es bastante preciso y seco para el tipo de correo en cuestión. El atacante deja claro que el remitente está en una reunión, de modo que no se le puede contactar por ningún otro medio. El objetivo es que el destinatario no intente comprobar si el remitente del mensaje es realmente la persona cuyo nombre aparece en la firma. Y, visto que los atacantes no intentaron ocultar el hecho de que el correo se envió desde un servicio público de correo electrónico, es evidente que sabían que la persona a la que estaban imitando usaba dicho servicio o esperaban que fuera común en la empresa el uso de un servicio de correo electrónico de terceros para la correspondencia corporativa.

Pero fue otra cosa lo que llamó nuestra atención: la firma “Enviado desde mi iPhone”. Dicha firma pertenece a los ajustes por defecto de la aplicación Mail de iOS para los mensajes de salida; sin embargo, los encabezados técnicos sugieren que el mensaje se envió a través de una interfaz web, en concreto desde el navegador Mozilla.

¿Por qué los atacantes intentan aparentar que su mensaje se envió desde un smartphone de Apple? La firma automática se pudo haber añadido para concederle un toque de seriedad al mensaje. Pero ese no es el truco más astuto. Con frecuencia, los ataques BEC parecen provenir de un compañero de trabajo; y es muy probable que, en este caso, el destinatario sepa qué tipo de dispositivo utiliza esa persona.

Por tanto, los delincuentes sabían muy bien lo que hacían. ¿Pero cómo es posible? Lo cierto es que no es tan difícil. Todo lo que necesitan es realizar cierta labor de reconocimiento usando un píxel de seguimiento, también conocido como faro o baliza web (web beacon).

Qué es un píxel de seguimiento y por qué se usa

En general, las empresas que envían correos masivos a los clientes, desean conocer el nivel de interacción. En teoría, el correo electrónico tiene una opción incorporada para enviar confirmaciones de lectura, pero los destinatarios deben aceptar su uso, lo cual la mayoría rechaza. Por esta razón, los trabajadores del mundo del marketing decidieron crear el píxel de seguimiento.

Un píxel de seguimiento es una imagen diminuta. Con apenas un píxel de alto por uno de ancho, resulta imperceptible para el ojo; se alberga en el sitio web, de modo que cuando un cliente solicita la imagen, el remitente que controla el sitio recibe la confirmación de que el mensaje se abrió, así como la dirección IP del dispositivo receptor, el tiempo que el correo estuvo abierto e información sobre el programa que se usó para abrirlo. ¿Te ha pasado alguna vez que un cliente de correo electrónico no ha mostrado las imágenes hasta que haces clic para descargarlas? No es para mejorar el rendimiento o limitar el tráfico. De hecho, las descargas automáticas de imágenes suelen estar desactivadas por defecto por motivos de seguridad.

¿Cómo puede un ciberdelincuente aprovecharse del píxel de seguimiento?

Aquí va un ejemplo: Mientras estás de viaje en el extranjero, te llega un mensaje a tu bandeja de entrada del trabajo que parece ser relevante para tu empresa. En cuento te das cuenta de que se trata de una solicitud no deseada, lo cierras y lo eliminas, pero mientras tanto, el atacante se enteró de lo siguiente:

• Estás en otro país, a juzgar por tu dirección IP. Eso significa que está complicado el contacto personal con tus compañeros de trabajo. Por tanto, eres un blanco fácil de imitar.
• Utilizas un iPhone (abriste el mensaje con la aplicación Mail para iOS), así que añadir la firma “Enviado desde mi iPhone” le añadirá credibilidad al correo falso.
• Leíste el correo a las 11 de la mañana. Por sí solo, no es nada relevante, pero si recibes mensajes regularmente, los ciberdelincuentes podrán adivinar tu horario y sincronizar un ataque para que coincida con un lapso en el cual no estás disponible.

¿Cómo puedes desactivar esta labor de reconocimiento?

Protegerse de un ataque de seguimiento es difícil. Eso no significa que tengas que hacérselo más fácil a los ciberdelincuentes. Estos son nuestros consejos:

• Si tu cliente de correo te invita a “hacer clic aquí para descargar imágenes”, eso significa que el contenido visual se ha bloqueado por motivos de privacidad. Piensa antes de permitirlo. El correo electrónico puede tener una apariencia fea sin las imágenes, pero si aceptas descargarlas, le proporcionarás a unos desconocidos información sobre ti y tu dispositivo.
• No abras el correo electrónico que se deposite en tu carpeta de spam. Los filtros de spam actual tienen un nivel de precisión extremadamente elevado, especialmente si tu servidor de correo electrónico está protegido por nuestra tecnología.
• Ten cuidado con los envíos de correo masivo B2B. Una cosa es suscribirte a las noticias de una empresa y otra muy distinta es cuando un correo proviene de una empresa anónima por motivos desconocidos. En este último caso, lo mejor es no abrir el mensaje.
• Utiliza soluciones seguras con tecnologías avanzadas de antispam y antiphishing para proteger tu correo corporativo.

Tanto Kaspersky Total Security for Business (que forma parte de Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server y Kaspersky Secure Mail Gateway) y Kaspersky Security for Microsoft Office 365 incluyen la tecnología antispam y antiphishing.