{"id":18377,"date":"2019-05-07T10:16:27","date_gmt":"2019-05-07T08:16:27","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18377"},"modified":"2019-11-22T10:53:20","modified_gmt":"2019-11-22T08:53:20","slug":"brazil-spam-mail-takeover","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/brazil-spam-mail-takeover\/18377\/","title":{"rendered":"El env\u00edo de spam y las consecuencias para tu empresa"},"content":{"rendered":"<p>Hace poco una importante empresa brasile\u00f1a contact\u00f3 con nosotros para que les ayud\u00e1ramos en la investigaci\u00f3n de un incidente. B\u00e1sicamente el problema era que los ciberdelincuentes hab\u00edan comenzado a distribuir <em>spam<\/em> utilizando las direcciones de sus empleados. Es decir, no se hac\u00edan pasar por remitentes leg\u00edtimos, como suele ser el caso, sino que enviaban directamente los mensajes a trav\u00e9s del servidor de correo de la empresa. Tras una ardua investigaci\u00f3n, pudimos dar con el procedimiento de los atacantes.<\/p>\n<h3>Estrategia de ataque<\/h3>\n<p>En primer lugar, los estafadores enviaron correos de <em>phishing<\/em> a los empleados para comunicarles que su buz\u00f3n de entrada estaba a punto de bloquearse por una u otra raz\u00f3n e invitarles a acceder a un enlace para actualizar la informaci\u00f3n de su cuenta. Evidentemente, el enlace dirig\u00eda a un formulario de <em>phishing<\/em> que solicitaba las credenciales de registro del sistema.<\/p>\n<div id=\"attachment_18379\" style=\"width: 596px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-18379\" class=\"wp-image-18379 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2019\/05\/06173847\/brazil-spam-mail-takeover-1.png\" alt=\"\" width=\"586\" height=\"241\"><p id=\"caption-attachment-18379\" class=\"wp-caption-text\">Traducci\u00f3n: Estimado usuario, su buz\u00f3n est\u00e1 a punto de ser eliminado ya que tiene demasiados mensajes sin leer. Para evitarlo, haga clic aqu\u00ed para actualizar su cuenta. Disculpe las molestias. El administrador del sistema.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Las v\u00edctimas rellenaron el formulario y concedieron a los estafadores el acceso total a sus cuentas de correo electr\u00f3nico. Una vez conseguido el acceso, los estafadores comenzaron a enviar <em>spam<\/em> desde las cuentas comprometidas sin necesidad de alterar el contenido de los encabezados, puesto que ya eran leg\u00edtimos. Es decir, el <em>spam<\/em> se enviaba desde servidores de confianza, de esta forma no levantaba las sospechas de los filtros de seguridad.<\/p>\n<p>Tras conseguir el control de los buzones de entrada, los ciberdelincuentes siguieron con la siguiente oleada de correos electr\u00f3nicos. Pero, en este caso los estafadores enviaron \u201c<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/nigerian-letter-fraud\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\"><em>spam<\/em> nigeriano<\/a>\u201d en varios idiomas (aunque en teor\u00eda el <em>spam<\/em> podr\u00eda ser de cualquier cosa, desde una oferta de medicamentos del mercado negro, hasta una infecci\u00f3n con <em>malware<\/em>).<\/p>\n<div id=\"attachment_18380\" style=\"width: 713px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-18380\" class=\"wp-image-18380 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2019\/05\/06173920\/brazil-spam-mail-takeover-2.png\" alt=\"\" width=\"703\" height=\"294\"><p id=\"caption-attachment-18380\" class=\"wp-caption-text\">Un ejemplo de \u201cspam nigeriano\u201d<\/p><\/div>\n<p>La investigaci\u00f3n mostr\u00f3 que esta empresa brasile\u00f1a no hab\u00eda sido la \u00fanica v\u00edctima, ya que este mismo mensaje se hab\u00eda enviado de parte de varias organizaciones p\u00fablicas y sin fines lucrativos, lo que a\u00f1adi\u00f3 una mayor notoriedad al contenido.<\/p>\n<h3>Consecuencias<\/h3>\n<p>Utilizar tus servidores para enviar ofertas fraudulentas podr\u00eda acabar con la reputaci\u00f3n de tu empresa, sobre todo si los atacantes optan por distribuir <em>malware<\/em>.<\/p>\n<p>Pero las consecuencias pueden ser a\u00fan peores, ya que normalmente las credenciales de registro de los correos electr\u00f3nicos de los empleados suelen coincidir con la contrase\u00f1a y nombre de usuario del dominio, por lo que el robo de estas credenciales podr\u00eda suponer tambi\u00e9n el acceso a otros servicios corporativos.<\/p>\n<p>Con el acceso al buz\u00f3n de entrada de uno de los empleados, los ciberdelincuentes podr\u00edan intentar lanzar un ataque dirigido contra compa\u00f1eros, socios o autoridades gubernamentales. Estos ataques son complicados, ya que requieren de habilidades de ingenier\u00eda social de primer nivel para persuadir a la v\u00edctima y que ejecute todas las acciones necesarias, pero el da\u00f1o que pueden causar es impredecible.<\/p>\n<p>Este tipo de fraude est\u00e1 clasificado como una vulneraci\u00f3n de los correos electr\u00f3nicos corporativos (BEC por sus siglas en ingl\u00e9s) y puede llegar a ser un verdadero quebradero de cabeza para las empresas afectadas, pues el remitente falso intenta obtener los datos de la cuenta, los documentos financieros y dem\u00e1s informaci\u00f3n confidencial a trav\u00e9s de la correspondencia. Adem\u00e1s, detectar los mensajes BEC es muy complicado, ya que proceden de una direcci\u00f3n real y contienen encabezados leg\u00edtimos y un contenido relevante.<\/p>\n<h3>C\u00f3mo proteger tu empresa y a tus empleados<\/h3>\n<p>Para proteger la reputaci\u00f3n de tu empresa y evitar el <em>spam<\/em> malicioso, te aconsejamos que utilices una <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de protecci\u00f3n de confianza<\/a> que pueda rastrear los ataques de <em>phishing<\/em> tanto en el servidor del correo electr\u00f3nico como en los equipos de los empleados. Adem\u00e1s, cabe destacar que es de vital importancia actualizar peri\u00f3dicamente las bases de datos <em>antispam<\/em> heur\u00edsticas y los componentes <em>antiphishing<\/em>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Unos ciberdelincuentes toman el control de cuentas de correo corporativas para enviar spam a prueba de filtros de seguridad.<\/p>\n","protected":false},"author":2495,"featured_media":18378,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[538,85,45],"class_list":{"0":"post-18377","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-correo-electronico","9":"tag-fraude","10":"tag-spam"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/brazil-spam-mail-takeover\/18377\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/brazil-spam-mail-takeover\/15735\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/brazil-spam-mail-takeover\/13264\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/brazil-spam-mail-takeover\/17644\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/brazil-spam-mail-takeover\/15789\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/brazil-spam-mail-takeover\/14493\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/brazil-spam-mail-takeover\/17271\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/brazil-spam-mail-takeover\/22686\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/brazil-spam-mail-takeover\/5941\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/brazil-spam-mail-takeover\/26855\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/brazil-spam-mail-takeover\/11676\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/brazil-spam-mail-takeover\/11791\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/brazil-spam-mail-takeover\/10673\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/brazil-spam-mail-takeover\/19150\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/brazil-spam-mail-takeover\/23175\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/brazil-spam-mail-takeover\/18338\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/brazil-spam-mail-takeover\/22571\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/brazil-spam-mail-takeover\/22506\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/spam\/","name":"spam"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2495"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=18377"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18377\/revisions"}],"predecessor-version":[{"id":19807,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18377\/revisions\/19807"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/18378"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=18377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=18377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=18377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}