AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ciberdelincuentes aprovechan Amazon SES para sofisticados ataques de phishing y BEC

admin

Introducción

En las últimas semanas, investigadores de Kaspersky han identificado una campaña de ciberataques que utiliza Amazon Simple Email Service (SES) como vector para ejecutar ataques de phishing y comprometer correos electrónicos empresariales (Business Email Compromise, BEC). Este escenario pone de manifiesto la sofisticación creciente de los atacantes y su capacidad para camuflarse bajo servicios legítimos, dificultando así la detección por parte de soluciones de seguridad convencionales. El abuso de plataformas cloud como Amazon SES plantea serios desafíos tanto a equipos de ciberseguridad como a los responsables de cumplimiento normativo.

Contexto del Incidente

Amazon SES es una plataforma cloud utilizada extensivamente por empresas y desarrolladores para el envío masivo de correos transaccionales y de marketing, incluyendo notificaciones de seguridad y restablecimientos de contraseñas. La plataforma favorece la entrega confiable de emails a través de direcciones verificadas y la integración con sistemas empresariales. Sin embargo, esta legitimidad y la elevada reputación de los dominios de Amazon han convertido a SES en un objetivo atractivo para los actores de amenazas.

Según los análisis de Kaspersky, los atacantes logran comprometer cuentas legítimas de Amazon SES, bien mediante phishing previo, credenciales filtradas o vulnerabilidades en la cadena de suministro. Una vez obtenidas las credenciales de acceso al servicio, los ciberdelincuentes generan campañas de phishing altamente convincentes, aprovechando la reputación de los dominios y la infraestructura de Amazon para eludir filtros antispam y sistemas de detección tradicionales.

Detalles Técnicos

Los ataques detectados están relacionados con campañas de phishing dirigidas, en las que se suplanta la identidad de organizaciones o proveedores de confianza para engañar a empleados y conseguir credenciales, datos confidenciales o incluso transferencias económicas fraudulentas (técnicas BEC). Los correos maliciosos enviados a través de Amazon SES presentan remitentes verificados por Amazon, lo que incrementa la tasa de éxito de las campañas.

Hasta el momento, se han identificado varias tácticas, técnicas y procedimientos (TTPs) asociados a este vector:

– Técnicas MITRE ATT&CK relevantes:
– T1566.001 (Phishing: Spearphishing Attachment)
– T1078 (Valid Accounts)
– T1192 (Spearfishing Links)
– T1114 (Email Collection)
– T1585.002 (Compromised Email Accounts)

– Indicadores de compromiso (IoC):
– Envío de emails desde direcciones legitimadas por Amazon, pero con contenido sospechoso o enlaces a sitios de phishing.
– Uso de dominios personalizados configurados en SES y registros SPF/DKIM válidos.

– Versiones afectadas:
– No existe una versión específica de SES vulnerable, sino que el riesgo reside en la gestión de credenciales y la seguridad de las cuentas asociadas.

– Herramientas y frameworks observados:
– Empleo de scripts personalizados para automatizar el envío de campañas, así como integración ocasional con frameworks de phishing como Evilginx para el robo de sesiones y tokens de autenticación.

Impacto y Riesgos

El uso de Amazon SES como infraestructura de envío otorga a los atacantes varias ventajas:
– Alta tasa de entrega y evasión de filtros de spam.
– Legitimidad percibida por el usuario, incrementando el riesgo de éxito en el phishing.
– Potencial para ataques BEC con transferencias fraudulentas, robo de información confidencial o sabotaje de cuentas.

Según datos de Kaspersky, se estima que el volumen de ataques de phishing a través de servicios cloud ha crecido un 32% en el último año, y la explotación de SES representa ya un 12% del total de campañas de phishing detectadas en entornos empresariales. Las pérdidas económicas asociadas a ataques BEC superan los 2.400 millones de dólares anuales, de acuerdo con el FBI IC3.

Medidas de Mitigación y Recomendaciones

Para reducir el riesgo de este vector de ataque, los expertos recomiendan:

– Revisión periódica de credenciales y activación de autenticación multifactor (MFA) en todas las cuentas de Amazon Web Services (AWS).
– Configuración estricta de políticas de acceso y uso de roles mínimos necesarios en IAM (Identity and Access Management).
– Monitorización de logs de Amazon SES y AWS CloudTrail para detectar actividades sospechosas.
– Implementación de soluciones de detección de phishing basadas en análisis de comportamiento y reputación de remitentes.
– Formación continua a empleados sobre la identificación de intentos de phishing, incluso cuando provienen de fuentes aparentemente legítimas.
– Aplicación de políticas de validación y doble verificación en transferencias y operaciones críticas (según recomendaciones de la NIS2 y el GDPR para protección de datos y continuidad del negocio).

Opinión de Expertos

Varios analistas coinciden en que el abuso de servicios cloud legítimos como Amazon SES marca un punto de inflexión en la evolución de los ataques de ingeniería social. “El atacante ya no necesita infraestructuras propias ni dominios fraudulentos: basta con secuestrar un servicio confiable para maximizar la tasa de entrega y el impacto”, explica un responsable de Threat Intelligence de Kaspersky. Otros expertos subrayan la necesidad de reforzar los controles de acceso y la monitorización continua en plataformas cloud.

Implicaciones para Empresas y Usuarios

Las organizaciones que utilizan Amazon SES, así como aquellas que dependen de la recepción de comunicaciones críticas vía email, deben revisar sus políticas de seguridad y concienciación. El riesgo no solo es tecnológico, sino también de cumplimiento: una brecha o suplantación exitosa puede acarrear sanciones bajo el GDPR y requerimientos de notificación obligatoria según la directiva NIS2. Es fundamental adoptar un enfoque proactivo y multidisciplinar, integrando soluciones técnicas, formación y procedimientos de respuesta ante incidentes.

Conclusiones

La explotación de Amazon SES para ataques de phishing y BEC subraya la importancia de la seguridad en la cadena de suministro digital. La sofisticación de los atacantes y su capacidad para mimetizarse en servicios legítimos obliga a las empresas a reforzar sus controles, monitorización y cultura de ciberseguridad. Solo una estrategia integral permitirá mitigar los riesgos emergentes en el actual panorama de amenazas.

(Fuente: www.cybersecuritynews.es)