{"id":24146,"date":"2020-10-29T18:14:02","date_gmt":"2020-10-29T16:14:02","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24146"},"modified":"2020-10-29T18:14:02","modified_gmt":"2020-10-29T16:14:02","slug":"phishing-via-esp","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/phishing-via-esp\/24146\/","title":{"rendered":"El phishing mediante servicios de e-mail marketing"},"content":{"rendered":"

Los estafadores han usado diferentes estrategias en los \u00faltimos a\u00f1os<\/a> para eludir las tecnolog\u00edas antiphishing<\/em> y una de ellas con un alto \u00edndice de \u00e9xito consiste en la entrega de enlaces de phishing<\/em> a los objetivos mediante el uso de servicios de marketing, tambi\u00e9n llamados ESP (siglas de email service provider o empresas especializadas en la entrega de emails con newsletters<\/em>), para el env\u00edo de estos mensajes. De acuerdo con las estad\u00edsticas que hemos obtenido de nuestras soluciones, este m\u00e9todo est\u00e1 cobrando impulso.<\/p>\n

Por qu\u00e9 tiene \u00e9xito el phishing<\/em> mediante los ESP<\/h2>\n

Las empresas que se toman en serio las amenazas en los correos electr\u00f3nicos analizan minuciosamente cada e-mail<\/em>, con motores antivirus, antiphishing<\/em> y antispam, antes de que los mensajes lleguen a las bandejas de entrada de los usuarios. Estos motores no solo analizan el contenido del mensaje, el asunto y los enlaces, sino que tambi\u00e9n comprueban la reputaci\u00f3n del destinario y los sitios web enlazados. Para llegar a un veredicto, se analiza una combinaci\u00f3n de estos factores. Por ejemplo, si un correo masivo proviene de un remitente desconocido, se env\u00eda una se\u00f1al de alerta a los algoritmos de seguridad.<\/p>\n

Pero los atacantes han encontrado un m\u00e9todo alternativo: enviar correos electr\u00f3nicos en nombre de entidades de confianza y los servicios de e-mail marketing<\/em>, que ofrecen una gesti\u00f3n de newsletter<\/em> de extremo a extremo, cumplen perfectamente con ese papel: son conocidas, muchos proveedores de soluciones de seguridad permiten sus direcciones IP por defecto y algunas incluso se saltan las comprobaciones de los correos que reciben de estos servicios<\/p>\n

As\u00ed se explotan los ESP<\/h2>\n

El principal vector de ataque es obvio: se trata de phishing<\/em> disfrazado de un correo leg\u00edtimo. En resumen, los ciberdelincuentes se hacen clientes del servicio, normalmente pagan por la suscripci\u00f3n m\u00e1s b\u00e1sica (lo contrario no tendr\u00eda sentido, ya que saben que pronto podr\u00edan detectarlos y bloquearlos).<\/p>\n

Pero hay una opci\u00f3n a\u00fan m\u00e1s t\u00f3xica: usar el ESP como anfitri\u00f3n de URL. De esta forma, la newsletter<\/em> se env\u00eda mediante la propia infraestructura del atacante. Por ejemplo, los ciberdelincuentes pueden crear una campa\u00f1a de prueba que contenga la URL de phishing<\/em> y envi\u00e1rsela a s\u00ed mismos para previsualizarla. El ESP genera un proxy<\/em> para dicha URL y entonces los ciberdelincuentes solo tienen que tomar la URL del proxy<\/em> para su newsletter<\/em> de phishing<\/em>. Otra opci\u00f3n para los estafadores es crear un sitio de phishing<\/em> que parezca una plantilla de correo electr\u00f3nico y ofrecer un enlace directo a \u00e9l, pero esto sucede con menos frecuencia.<\/p>\n

De cualquier forma, la nueva URL del proxy<\/em> ahora tiene una buena reputaci\u00f3n, por lo que no se bloquear\u00e1 y el ESP, que no gestiona el correo, no ver\u00e1 nada malo ni bloquear\u00e1 a su \u201ccliente\u201d, al menos no hasta que empiece a recibir quejas. A veces este tipo de estrategias tambi\u00e9n forman parte del spear-phishing<\/em>.<\/p>\n

\u00bfQu\u00e9 piensan los EPS?<\/h2>\n

Como de esperar, los EPS no disfrutan siendo herramientas de los ciberdelincuentes. La mayor\u00eda de ellos cuenta con sus propias tecnolog\u00edas de seguridad que analizan el contenido y los enlaces de los mensajes que pasen por sus servidores y casi todos brindan orientaci\u00f3n para cualquiera que se encuentre con phishing<\/em> a trav\u00e9s de su sitio web.<\/p>\n

Por lo tanto, los atacantes tambi\u00e9n tratan de mantener la calma de los ESP, por ejemplo, usando un proveedor de proxies, lo que tiende a retrasar<\/a> los enlaces de phishing<\/em>, por lo que, en el momento de su creaci\u00f3n, los enlaces de los mensajes de prueba parecen leg\u00edtimos y m\u00e1s tarde se vuelven maliciosos.<\/p>\n

C\u00f3mo actuar<\/h2>\n

En muchos casos, los correos masivos se env\u00edan a los empleados de la empresa cuyas direcciones son p\u00fablicas e incluso el m\u00e1s cuidadoso puede bajar la guardia y hacer clic donde no deber\u00eda. Para proteger a los empleados contra posibles ataques de phishing<\/em> provenientes de un servicio de e-mail marketing<\/em>, recomendamos lo siguiente:<\/p>\n