AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Detectan sofisticada campaña de phishing dirigida a plataformas de documentos y firma electrónica

admin

Introducción

En las últimas semanas, se ha detectado una campaña de phishing a gran escala dirigida tanto a organizaciones como a usuarios individuales, en la que los atacantes suplantan servicios populares de compartición de documentos —especialmente Microsoft SharePoint— y plataformas de firma electrónica. El equipo de investigación de Check Point® Software Technologies Ltd. ha documentado esta actividad tras analizar múltiples incidentes reportados a nivel internacional, revelando un claro auge en el uso de señuelos financieros y notificaciones falsas para comprometer credenciales y facilitar accesos no autorizados a información sensible.

Contexto del Incidente

La tendencia a digitalizar y externalizar flujos de trabajo mediante soluciones como SharePoint, DocuSign y Adobe Sign ha hecho que este tipo de plataformas sean objetivos prioritarios para los ciberdelincuentes. Aprovechando la confianza que los usuarios depositan en notificaciones automáticas de estas herramientas, los atacantes diseñan correos electrónicos que imitan a la perfección los avisos legítimos de subida de documentos, solicitudes de firma o confirmaciones de acceso a archivos compartidos. Esta campaña, que comenzó a finales del primer trimestre de 2024, coincide con el cierre fiscal y el aumento de transacciones electrónicas en el sector empresarial, maximizando así el impacto de los intentos de ingeniería social.

Detalles Técnicos de la Campaña

La campaña identificada emplea técnicas avanzadas de phishing, alineadas con tácticas, técnicas y procedimientos (TTP) recogidos en el framework MITRE ATT&CK, en particular T1566 (Phishing) y T1192 (Spearphishing Link). Los correos maliciosos presentan enlaces a páginas de phishing alojadas en dominios comprometidos, donde el diseño replica fielmente la interfaz de autenticación de plataformas como SharePoint y DocuSign. Una vez introducidas las credenciales, estas son exfiltradas a servidores controlados por los atacantes.

Entre los indicadores de compromiso (IoC) detectados se encuentran:

– Dominios falsos con variaciones sutiles de los originales (typosquatting).
– Enlaces acortados mediante servicios legítimos para dificultar el análisis automático.
– Archivos adjuntos en formato PDF o HTML con enlaces incrustados a sitios maliciosos.
– Uso de certificados SSL válidos para dar apariencia de legitimidad.
– Integración de kits de phishing automatizados disponibles en foros underground, en algunos casos con exploits listos para integrar en frameworks como Metasploit.

En cuanto a las versiones afectadas, el ataque no explota vulnerabilidades específicas del software, sino debilidades en el factor humano y en la autenticación por contraseña. Sin embargo, usuarios de Microsoft 365, SharePoint Online y servicios de firma electrónica sin MFA activo están especialmente expuestos.

Impacto y Riesgos

Según datos de Check Point, se estima que la campaña ha impactado a más de 25.000 usuarios en Europa y América durante el segundo trimestre de 2024, con tasas de éxito (compromiso inicial) superiores al 7%. Los riesgos asociados incluyen:

– Acceso no autorizado a información corporativa confidencial.
– Robo de identidades digitales y credenciales reutilizables en otras plataformas.
– Movimientos laterales internos y escalada de privilegios.
– Utilización de cuentas comprometidas para ataques de Business Email Compromise (BEC).
– Potenciales sanciones regulatorias bajo GDPR o NIS2 en caso de fuga de datos personales o incidentes de disponibilidad.

Se han registrado incidentes con pérdidas económicas directas superiores a los 2 millones de euros, incluyendo pagos fraudulentos y desvío de fondos tras el acceso a cuentas de correo comprometidas.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan implementar las siguientes contramedidas:

1. Activación obligatoria de autenticación multifactor (MFA) en todos los servicios de compartición de documentos y correo electrónico.
2. Auditoría frecuente de logs de acceso y alertas ante intentos de inicio de sesión sospechosos (geo-localizaciones inesperadas, horarios fuera de jornada habitual).
3. Despliegue de filtros avanzados de correo (sandboxing, análisis heurístico y bloqueadores de enlaces maliciosos).
4. Formación continua y simulacros de phishing dirigidos a empleados, con énfasis en la identificación de correos sospechosos.
5. Políticas de acceso Zero Trust: revisión periódica de permisos en SharePoint y plataformas similares, minimizando el acceso a lo estrictamente necesario.
6. Actualización y despliegue de soluciones EDR/XDR con capacidades de detección de comportamiento anómalo.

Opinión de Expertos

Según Eusebio Nieva, director técnico de Check Point en España: “La sofisticación de los ataques de phishing actuales obliga a las empresas a ir más allá de la protección tradicional. La detección temprana de anomalías y la educación del usuario son tan críticas como el despliegue de tecnologías de defensa perimetral y autenticación robusta.”

Implicaciones para Empresas y Usuarios

Este tipo de campañas refuerza la necesidad de revisar los procesos internos y las políticas de seguridad en el manejo de documentos digitales. Las organizaciones sujetas a GDPR y NIS2 deben extremar las precauciones, ya que un incidente de este tipo puede desencadenar investigaciones regulatorias y sanciones millonarias. Los usuarios, por su parte, deben desconfiar sistemáticamente de solicitudes inesperadas para acceder o firmar documentos, incluso si parecen proceder de fuentes legítimas.

Conclusiones

La campaña de phishing identificada pone de manifiesto la continua evolución de las amenazas dirigidas a entornos colaborativos y de firma electrónica. La combinación de ingeniería social avanzada, uso de kits automatizados y explotación de debilidades humanas exige una aproximación integral a la ciberseguridad, que combine tecnología, procesos y concienciación. Ante este panorama, profesionales de seguridad, CISOs y equipos SOC deben reforzar sus capacidades defensivas y adaptarse a un entorno en el que las fronteras tradicionales de la red han dejado de existir.

(Fuente: www.cybersecuritynews.es)