{"id":28734,"date":"2023-04-27T17:23:53","date_gmt":"2023-04-27T15:23:53","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28734"},"modified":"2023-04-28T11:12:26","modified_gmt":"2023-04-28T09:12:26","slug":"what-is-conversation-hijacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/what-is-conversation-hijacking\/28734\/","title":{"rendered":"El secuestro de conversaciones y c\u00f3mo lidiar con ello"},"content":{"rendered":"

Los ataques de correo electr\u00f3nico dirigidos no se limitan al phishing dirigido y a la suplantaci\u00f3n de identidad en los correos electr\u00f3nicos comerciales<\/a> (BEC, por sus siglas en ingl\u00e9s). Otra amenaza grave es el secuestro de conversaciones. Se trata de un esquema en el que los atacantes se insertan en una conversaci\u00f3n de correo electr\u00f3nico comercial y se hacen pasar por uno de los participantes. En este art\u00edculo analizamos c\u00f3mo funcionan dichos ataques y qu\u00e9 hacer para minimizar sus posibilidades de \u00e9xito.<\/p>\n

\u00bfC\u00f3mo logran los atacantes acceder a los correos electr\u00f3nicos?<\/h2>\n

Para meterse en una conversaci\u00f3n de correo electr\u00f3nico privada, los ciberdelincuentes necesitan obtener acceso a una bandeja de entrada o, al menos, al archivo de mensajes. Hay varios trucos que pueden utilizar para lograr esto.<\/p>\n

El m\u00e9todo m\u00e1s obvio es hackear la bandeja de entrada. Para los servicios en la nube, usar la fuerza bruta<\/strong> para averiguar la contrase\u00f1a es el m\u00e9todo elegido: los atacantes buscan contrase\u00f1as asociadas con una direcci\u00f3n de correo electr\u00f3nico en particular en filtraciones de servicios en l\u00ednea, y luego las prueban en cuentas de correo electr\u00f3nico de trabajo. Es por eso que es importante, en primer lugar, no usar las mismas credenciales para diferentes servicios, y en segundo lugar, no proporcionar una direcci\u00f3n de correo electr\u00f3nico de trabajo al registrarse en sitios no relacionados con el trabajo. Un m\u00e9todo alternativo es acceder al correo electr\u00f3nico a trav\u00e9s de vulnerabilidades en el software del servidor.<\/strong><\/p>\n

Los ciberdelincuentes rara vez mantienen el control de una direcci\u00f3n de correo electr\u00f3nico de trabajo durante mucho tiempo, pero suelen tener tiempo suficiente para descargar el archivo de mensajes. A veces crean reglas de reenv\u00edo en la configuraci\u00f3n para recibir el correo electr\u00f3nico que llega al buz\u00f3n en tiempo real. As\u00ed, s\u00f3lo pueden leer mensajes y no enviar ninguno. Si pudieran enviar mensajes, lo m\u00e1s probable es que intentaran realizar un ataque BEC.<\/p>\n

Otra opci\u00f3n es el malware<\/em><\/strong>. Recientemente, nuestros compa\u00f1eros descubrieron una campa\u00f1a masiva de secuestro de conversaciones<\/a> destinada a infectar ordenadores mediante el troyano QBot. Lo m\u00e1s probable es que los correos electr\u00f3nicos en los que los ciberdelincuentes plantaron su carga maliciosa procedieran de v\u00edctimas anteriores de ese mismo malware<\/em> QBot (que puede acceder a archivos de mensajes locales).<\/p>\n

Pero los operarios de malware<\/em> no se dedican necesariamente al secuestro de conversaciones: a veces, los archivos de mensajes se venden en la dark web y son utilizados por otros estafadores.<\/p>\n

\u00bfC\u00f3mo funciona el secuestro de conversaciones?<\/h2>\n

Los ciberdelincuentes rastrean los archivos de mensajes en busca de correos electr\u00f3nicos entre varias empresas (socios, contratistas, proveedores, etc.). Las fechas no importan: los estafadores pueden retomar conversaciones de hace a\u00f1os. Tras encontrar un intercambio de correos electr\u00f3nico adecuado, escriben a una de las partes implicadas haci\u00e9ndose pasar por otra. El objetivo es embaucar a la persona que est\u00e1 al otro lado para que haga algo requerido por los atacantes. Antes de ponerse manos a la obra, a veces intercambian algunos mensajes s\u00f3lo para bajar la guardia del otro.<\/p>\n

Dado que el secuestro de conversaciones es un ataque dirigido, a menudo utiliza un dominio de apariencia similar, es decir, un dominio visualmente muy parecido al de uno de los participantes, pero con alg\u00fan peque\u00f1o desajuste, por ejemplo, un dominio de nivel superior diferente, una letra de m\u00e1s o un s\u00edmbolo sustituido por otro de aspecto similar.<\/p>\n

Correo electr\u00f3nico de los atacantes: en el nombre de dominio aparece la letra \"n\" en lugar de la \"m\".

Correo electr\u00f3nico de los atacantes: en el nombre de dominio aparece la letra \u201cn\u201d en lugar de la \u201cm\u201d.<\/p><\/div>\n

\u00bfPara qu\u00e9 se utiliza el secuestro de conversaciones?<\/h2>\n

Los objetivos del secuestro de conversaciones suelen ser bastante simples: obtener acceso a alg\u00fan recurso mediante el robo de credenciales de inicio de sesi\u00f3n; embaucar a la v\u00edctima para que env\u00ede dinero a la cuenta de los atacantes; o conseguir que la v\u00edctima abra un archivo adjunto malicioso o siga un enlace a un sitio infectado.<\/p>\n

\u00bfC\u00f3mo protegerse del secuestro de conversaciones?<\/h2>\n

La principal amenaza que plantea el secuestro de conversaciones es que los correos electr\u00f3nicos de este tipo son bastante dif\u00edciles de detectar por medios automatizados. Afortunadamente, contamos con Kaspersky Security for Microsoft Office 365<\/a>, una soluci\u00f3n que detecta los intentos de unirse disimuladamente a conversaciones ajenas. Para reducir a\u00fan m\u00e1s los riesgos tanto para ti como para tus socios comerciales, te recomendamos:<\/p>\n

\u2013 Proteger los dispositivos de los empleados<\/a> para dificultar el robo de archivos de mensajes desde ellos.<\/p>\n

\u2013 Utilizar contrase\u00f1as \u00fanicas para las cuentas de correo electr\u00f3nico del trabajo.<\/p>\n

\u2013 Reducir al m\u00ednimo el n\u00famero de servicios externos registrados en las direcciones de correo electr\u00f3nico del trabajo.<\/p>\n

\u2013 No s\u00f3lo cambiar la contrase\u00f1a despu\u00e9s de un incidente de correo electr\u00f3nico, sino tambi\u00e9n comprobar si han aparecido reglas de reenv\u00edo no deseadas en la configuraci\u00f3n.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Los ciberdelincuentes pueden acceder a los correos electr\u00f3nicos de las personas con las que mantienes contacto e intentar secuestrar tus conversaciones.<\/p>\n","protected":false},"author":2598,"featured_media":28736,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[499,2982,538],"class_list":{"0":"post-28734","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ataques-dirigidos","10":"tag-bec","11":"tag-correo-electronico"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-is-conversation-hijacking\/28734\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/what-is-conversation-hijacking\/25567\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/what-is-conversation-hijacking\/20986\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/what-is-conversation-hijacking\/28196\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/what-is-conversation-hijacking\/25865\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/what-is-conversation-hijacking\/26246\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/what-is-conversation-hijacking\/35187\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-is-conversation-hijacking\/48010\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/what-is-conversation-hijacking\/20490\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/what-is-conversation-hijacking\/21166\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-is-conversation-hijacking\/30059\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/what-is-conversation-hijacking\/26180\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/what-is-conversation-hijacking\/31872\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/what-is-conversation-hijacking\/31556\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/correo-electronico\/","name":"correo electr\u00f3nico"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28734","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28734"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28734\/revisions"}],"predecessor-version":[{"id":28738,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28734\/revisions\/28738"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28736"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}