Cómo detectar y prevenir ataques de phishing en Microsoft Office 365
Las filtraciones de datos en Microsoft 365 pueden causar graves daños a cualquier empresa que utilice esta suite SaaS. Dado que la mayoría de los ciberataques comienzan con un correo electrónico de suplantación de identidad, una protección fiable contra el phishing de Microsoft Office 365 es fundamental para salvaguardar los datos empresariales.
Este post enumera los distintos tipos de correos electrónicos de phishing de Microsoft 365 y explica cómo detectarlos. Siga leyendo y descubra las estrategias para mejorar la seguridad de su organización frente a las brechas cibernéticas.
¿Qué es el phishing en Microsoft Office 365?
Antes de continuar con los tipos de ataque y las contramedidas, definamos el phishing. Comprender la naturaleza de esta ciberamenaza en particular ayuda a los expertos en TI a proteger eficazmente las infraestructuras y los datos empresariales contra ella.
Definición de phishing
Los especialistas en seguridad se refieren al phishing como una táctica de ciberataque que utiliza los elementos de la ingeniería social a través de mensajes de correo electrónico para engañar a un usuario y llevar a cabo una brecha informática. El propósito del engaño puede variar de compartir la contraseña a descargar software malicioso adjunto a un correo electrónico. La mayoría de los ataques de ransomware se producen después de una brecha cibernética inducida por phishing.
Por qué Microsoft Office 365 es un destino habitual del phishing
Los piratas informáticos tienen como destino las infraestructuras de Microsoft 365 por el valor de los datos y los beneficios potenciales que pueden derivarse del robo de esos datos. Suelen redactar correos electrónicos de phishing O365 que resultan familiares a la víctima. Puede tratarse de una solicitud de ayuda de un colega, de noticias de la empresa o de la renovación de una suscripción a un servicio. Para que los correos electrónicos maliciosos parezcan legítimos, las direcciones del remitente suelen falsificarse para que parezcan correctas a primera vista.
Otro reto es que la ingeniería social en general, y el phishing de Microsoft 365 en particular, están evolucionando para ser más sofisticados y eficaces. Los piratas informáticos pueden ajustar sus correos electrónicos a la actualidad local y mundial, utilizar enfoques personalizados y mejorar la credibilidad de los mensajes con otros nuevos trucos. La inteligencia artificial es probablemente la herramienta más amenazadora que potencia los peligros en este ámbito. La IA puede aumentar la frecuencia y el impacto de los ciberataques en cada fase, desde el reconocimiento inicial y la infiltración hasta el ransomware impulsado por IA.
Tipos de ataques de suplantación de identidad de Microsoft Office 365
Comprender los distintos tipos de ataques de phishing puede ayudarle a proteger eficazmente la infraestructura y los datos de su organización contra esta amenaza.
Phishing masivo
Este método consiste en enviar decenas de miles de correos electrónicos a tantos destinatarios como el pirata tenga en la base de datos. El phishing masivo no consiste en enfoques selectivos; estos correos electrónicos suelen tener como destino la mayor audiencia posible, ya que se basan en números, no en contenidos. El phishing masivo es frecuente de recibir pero relativamente fácil de detectar. Los filtros de spam y estafa integrados en Microsoft Office 365 pueden revelar y resaltar eficazmente los correos electrónicos masivos de suplantación de identidad.
Suplantación de identidad
A diferencia del phishing masivo, el phishing con arpón se basa en una ingeniería social exhaustiva para elaborar mensajes profundamente personalizados. Se dirige a usuarios específicos, lo que hace que este tipo de phishing sea más eficaz que cualquier otro ciberataque.
Antes de elaborar un correo electrónico de phishing selectivo, los piratas informáticos pueden llevar a cabo un reconocimiento preliminar para recabar información sobre la organización de destino, sus socios, directivos y empleados. Las herramientas asistidas por IA simplifican y agilizan la investigación, por lo que cabe esperar que los intentos de phishing con arpón sean cada vez más frecuentes.
Los atacantes utilizan los datos recopilados para componer un mensaje aparentemente legítimo que contiene nombres, ubicaciones, números de teléfono o eventos familiares para el destino. En resumen, el spear phishing consume más tiempo al atacante que el phishing masivo, pero es más eficaz.
Ballenera
En esencia, el whaling es un subtipo de spear phishing dirigido principalmente a altos ejecutivos, inversores y propietarios de empresas. Los piratas informáticos personalizan los correos electrónicos para que parezcan solicitudes de medios de comunicación, mensajes financieros o contactos comerciales para atraer y manipular a personas de alto nivel. Por ejemplo, los mensajes balleneros imitan facturas de pago, solicitudes de clientes o contratos de asociación.
Las víctimas inconscientes son destinos deseados debido a los conocimientos y datos que poseen y al nivel de acceso al sistema que suelen tener sus cuentas corporativas. Comprometer una cuenta ejecutiva puede dar a los piratas informáticos importantes privilegios de acceso a información sensible. A continuación, pueden utilizar esa brecha para organizar un ataque a gran escala.
Fraude al CEO
Otro tipo de táctica de phishing de correo electrónico de Office 365 es el fraude de CEO. En estos correos electrónicos de phishing, un atacante puede hacerse pasar por un director general que comparte algo importante con los empleados. Por ejemplo, un mensaje puede parecer una actualización vital de una política o una solicitud urgente de transferencia financiera. Sin embargo, el objetivo sigue siendo el mismo: engañar a los destinatarios y hacer que compartan datos, hagan clic en un enlace malicioso o descarguen un archivo adjunto infectado.
Para entender mejor este tipo de phishing, imagine a una persona que espera un ascenso profesional y recibe un correo electrónico al respecto. Lo más probable es que los atacantes falsifiquen la dirección de correo electrónico, copien el diseño del correo electrónico corporativo y, con el estado actual de la IA, incluso imiten el estilo de comunicación del director general de esa organización. El miembro del equipo lee el mensaje del falso ejecutivo y luego, siguiendo las instrucciones, hace clic en el enlace e instala el ransomware en el entorno corporativo.
Filtrar la evasión
Microsoft implementa un potente Filtrar phishing de Office 365 que no garantiza la detección absoluta de mensajes maliciosos. Los atacantes elaboran correos electrónicos de suplantación de identidad que pueden eludir los filtros de software para introducirse en el buzón del usuario como mensajes legítimos.
Este tipo de phishing puede incluir:
- Incrustación de código malicioso en imágenes adjuntas.
- Mezclar enlaces de sitios web reputados y conocidos con enlaces de phishing.
- Añadir mucho contenido «limpio» para ocultar el código malicioso.
- Aplicar herramientas de acortamiento de URL.
Estas tácticas son bastante primitivas y puede que ni siquiera eviten la detección. Sin embargo, al enviar miles de correos electrónicos de suplantación de identidad, incluso el uno por ciento de los mensajes que pasan a través de los filtros pueden causar múltiples violaciones de datos.
PhishPoint
PhishPoint destaca cuando se habla de phishing de Microsoft Office 365. El hacker inserta primero un enlace malicioso en un archivo de SharePoint en una prueba de Microsoft 365. A continuación, el usuario recibe una invitación para acceder a algunos archivos de SharePoint y colaborar en ellos.
El usuario hace clic en el enlace, que le redirige a una solicitud falsa de acceso a archivos de OneDrive con una URL maliciosa que conduce a otra página falsa. La página suele ser una copia de la pantalla de inicio de sesión de Microsoft 365. A continuación, el usuario introduce credenciales de inicio de sesión que se envían a la base de datos del pirata informático en lugar de concederle acceso a una cuenta de Microsoft 365.
Cómo detectar ataques de phishing en Office 365
Ahora que ya conoce los principales tipos de ataques de phishing de Microsoft 365, procedamos con sus métodos de detección. Puede identificar mensajes maliciosos en su buzón de Office 365 de forma más eficaz comprobando determinadas partes del contenido del correo electrónico.
Señales de correo electrónico fraudulento
Las señales típicas que se pueden encontrar en un ejemplo medio de correo electrónico de phishing de Microsoft Office 365 son:
- Errores de puntuación y gramaticales: «you is», «hallo», «can to».
- Errores ortográficos en el nombre de la organización: «SqaceX», «Micnosoft», «Arnazon».
- Direcciones de correo electrónico incorrectas: «support@mirosoft.com», «press@slarbucks.com», «johndoe@support.fasebook.com».
- Crear una sensación de urgencia: «Su cuenta será eliminada», «Violación de la seguridad», «Aviso URGENTE».
- Lenguaje de llamada a la acción intrusivo: «siga el enlace lo antes posible», «descargue el archivo adjunto para garantizar la seguridad de la cuenta», «póngase en contacto con nosotros inmediatamente a través de este formulario».
Las herramientas de inteligencia artificial han aumentado significativamente el nivel de amenaza de los correos electrónicos de phishing de Microsoft 365. Con la IA, los atacantes pueden generar un número más significativo de mensajes en periodos cortos manteniendo una calidad de contenidos aceptable. Los correos electrónicos generados por IA pueden parecer legítimos, pero si se comprueban atentamente las direcciones del remitente y los enlaces se puede evitar una brecha.
Estrategias eficaces para evitar la suplantación de identidad en Office 365
El éxito de una campaña de phishing de Microsoft Office 365 suele basarse en la combinación de dos factores:
- Protección insuficiente contra el phishing de Microsoft 365 dentro de una organización.
- Empleados que no son conscientes de la amenaza o son lo suficientemente descuidados como para ignorar los principios básicos de seguridad en línea.
Considere la posibilidad de aplicar las siguientes recomendaciones para mejorar la eficacia de la protección contra phishing de O365 en su entorno de TI.
Configurar la autenticación multifactor (MFA)
Microsoft admite la autenticación multifactor para sus cuentas. MFA añade una capa de seguridad a los procedimientos de inicio de sesión de Microsoft 365. Con MFA activado, el usuario debe teclear un código de verificación de un solo uso recibido por SMS o generado en una aplicación autenticadora de terceros.
La configuración de la autenticación multifactor mejora la seguridad de M365, ya que la combinación de nombre de usuario y contraseña no será suficiente para que los piratas informáticos accedan a una cuenta. Microsoft recomienda utilizar una aplicación de autenticación en lugar de la verificación por SMS por motivos de seguridad y rapidez.
Configurar las políticas antiphishing de Office 365
En Exchange Online, puede establecer políticas antiphishing para mejorar la protección contra phishing. La correcta configuración de estas políticas permite la detección temprana y el bloqueo de correos electrónicos maliciosos. El sistema puede analizar datos como el dominio del remitente de un correo electrónico, las URL añadidas y posibles casos de suplantación de identidad.
Utilizar estándares de autenticación de correo electrónico (SPF, DKIM, DMARC)
Las normas de autenticación del correo electrónico pueden garantizar que tanto el remitente como el correo electrónico son legítimos. Estas normas son abiertas y están a disposición del público, pero su aplicación depende de la organización. Las principales normas de autenticación del correo electrónico son:
- Marco de política de remitentes (SPF): comprueba si el remitente está en la lista blanca del dominio.
- DomainKeys Identified Mail (DKIM): comprueba el cifrado del correo electrónico y su contenido mediante la infraestructura de clave pública (PKI).
- Autenticación, notificación y conformidad de mensajes basados en dominios (DMARC): comprueba la autenticación del dominio del remitente mediante SPF y/o DKIM. DMNARC no es una norma de autenticación independiente.
Las normas de autenticación del correo electrónico suelen requerir cierto esfuerzo y tiempo para su configuración. Sin embargo, pueden reducir notablemente el número de correos electrónicos de phishing de Microsoft 365 en los buzones de la organización.
Actualizar y parchear periódicamente el software
Dado que las amenazas de phishing siguen evolucionando, su seguridad para Windows, Exchange Online, Windows Defender y las aplicaciones de Office debe mantenerse actualizada. Esto también puede incluir soluciones de seguridad de terceros y aplicaciones que su organización utiliza para permitir la colaboración y apoyar la producción. Las actualizaciones periódicas le ayudan a mantenerse protegido contra las últimas amenazas y a parchear las vulnerabilidades reveladas recientemente.
Educar a los empleados
Independientemente del tipo de ataque, el usuario es el principal destino de los correos electrónicos de phishing de Microsoft 365. Un solo clic erróneo de un empleado puede anular la eficacia de los sistemas de protección más avanzados (y caros). Programe sesiones de formación en infoseguridad para asegurarse de que los usuarios de su organización saben lo suficiente sobre las tácticas de phishing y pueden distinguir entre correos electrónicos legítimos y falsos.
Además, se recomienda no limitar la educación en ciberseguridad a los departamentos de TI. Directores ejecutivos, responsables de recursos humanos, especialistas en marketing y ventas, contables y cualquier persona dentro de una organización puede ser el destino de un ataque. Cada miembro del equipo que tenga acceso al entorno informático interno debe conocer la amenaza y saber cómo detectar un correo electrónico de suplantación de identidad de Microsoft Office 365.
Realización de simulacros
Además de la educación, la formación periódica puede ayudar a mantener a los empleados precavidos y a supervisar la eficacia de sus medidas de protección contra el phishing. Además, puede iniciar fácilmente una prueba de phishing de Microsoft 365 con el entrenamiento de simulación de ataques incorporado. Esta simulación está disponible con Microsoft 365 E5 o Microsoft Defender para Office 365 Plan 2.
Después de configurar la simulación, la herramienta lanza un correo electrónico de phishing de prueba a los usuarios elegidos. A continuación, puede ver cómo reacciona cada usuario ante el ataque y asignarle formación adicional y contenidos educativos si es necesario.
Haga backups y proteja los datos de Office 365 con NAKIVO
Con la evolución de las técnicas de suplantación de identidad, el error humano que conduce a una violación de la seguridad y a la pérdida de datos es una cuestión de cuándo, no de si ocurrirá. Cuando su protección se ve comprometida y los datos originales se pierden o corrompen, una copia de seguridad actualizada puede ahorrar tiempo, esfuerzo y dinero. Una solución todo en uno especializada como NAKIVO Backup & Replication le permite implementar copias de seguridad y recuperación eficaces de Microsoft 365.
Con NAKIVO Backup & Replication, puede ejecutar backups incrementales rápidos de sus datos de Microsoft 365 en Exchange Online, Microsoft Teams, SharePoint Online y OneDrive para la Empresa. La solución admite múltiples repositorios de backups, incluidas carpetas locales de Windows y Linux, plataformas en la nube (Amazon S3, Wasabi, Azure Blob, Amazon EC2 y otros almacenamientos compatibles con S3), archivos compartidos SMB/NFS y appliance de desduplicación. Puede activar el cifrado del lado del origen y la inmutabilidad para proteger los datos de backups del acceso de terceros y de eliminaciones accidentales o malintencionadas. Los backups inmutables son inmunes a las alteraciones del ransomware dentro del periodo establecido. En caso de que fallen las medidas de prevención, puede restaurar los datos después de un ataque de ransomware sin pagar el rescate.
Puede utilizar las funciones de búsqueda avanzada para encontrar y restaurar los objetos de datos necesarios en los backups de Microsoft 365. La recuperación casi instantánea le ayuda a cumplir los requisitos normativos y satisfacer las solicitudes de detección electrónica. La programación y automatización de backups, las políticas de retención personalizables, la ampliabilidad de nivel empresarial y la multitenencia avanzada pueden reducir los gastos de administración. NAKIVO Backup & Replication está disponible por suscripción, con licencia por usuario e incluye asistencia 24 horas al día, 7 días a la semana.
Conclusión
Los ataques de suplantación de identidad de Microsoft Office 365 pueden provocar una brecha en la seguridad, con el consiguiente robo o pérdida de datos para cualquier empresa que utilice el paquete. Para mejorar la protección contra la suplantación de identidad de Microsoft 365 de su organización, puede establecer MFA, configurar políticas contra la suplantación de identidad, aplicar normas de autenticación de correo electrónico y actualizar el software. Educar a los empleados y llevar a cabo sesiones periódicas de formación en ciberseguridad puede aumentar la concienciación sobre las amenazas y la prevención del phishing. Utilizar soluciones de protección de datos como NAKIVO Backup & Replication con copias de seguridad de datos automatizadas es la forma más fiable de mitigar los resultados de los incidentes de pérdida de datos que suelen seguir a las brechas de seguridad.
