A pesar de la creciente popularidad de las herramientas de colaboración en tiempo real como Slack, Zoom y Microsoft Teams, el correo electrónico sigue siendo el canal preferido para la comunicación asíncrona en la mayoría de las organizaciones a nivel global.

Los Chief Information Officers (CIO) de diversas industrias reconocen que, aunque las plataformas de mensajería instantánea han ganado terreno, el email sigue siendo esencial para la gestión de operaciones, la transmisión de información crítica y la toma de decisiones empresariales.

De hecho, un estudio de Zero Bounce revela que el 56% de las personas admiten tener al menos tres direcciones de correo electrónico, y el 80% revisan su bandeja de entrada, principalmente, debido a la recepción de mensajes laborales importantes.

No obstante, este canal tan omnipresente presenta una serie de desafíos de seguridad cibernética que, si no se gestionan adecuadamente, pueden resultar en graves brechas de seguridad y pérdidas económicas para las organizaciones. El correo electrónico fue diseñado inicialmente sin una seguridad robusta, lo que lo convierte en un canal inherentemente inseguro, vulnerable a una amplia variedad de ataques cibernéticos. Para los CIO, esta vulnerabilidad representa un reto clave en la gestión de la seguridad de TI.

Las amenazas más destacadas y su evolución
Entre las amenazas más destacadas están los ataques de phishing, que históricamente se han centrado en engañar a los usuarios para que revelen sus credenciales, a través de correos electrónicos fraudulentos. Sin embargo, estos ataques han evolucionado considerablemente en los últimos años. Los ciberdelincuentes han comenzado a explotar el intercambio de archivos como una táctica sofisticada, utilizando plataformas de alojamiento de archivos y servicios de firma electrónica populares para hacer que los ataques sean más convincentes y difíciles de detectar.

Esta táctica implica que los atacantes se hagan pasar por colegas, proveedores o socios de confianza y envíen correos electrónicos con enlaces a lo que parecen ser documentos compartidos o archivos importantes. Una vez que el destinatario hace clic en el enlace, el atacante puede robar credenciales de acceso, instalar malware en el dispositivo de la víctima o incluso obtener información sensible.

Los CIOs deben ser conscientes de esta amenaza emergente, porque no presentan los signos tradicionales de phishing, como errores ortográficos o direcciones sospechosas. En cambio, los atacantes utilizan plantillas de phishing profesionales adquiridas en la web oscura o generadas mediante herramientas de inteligencia artificial (IA). Las líneas de asunto o nombres de los documentos falsificados a menudo se diseñan para despertar la curiosidad o inducir una sensación de urgencia como, por ejemplo, anunciando cambios en la política de vacaciones o actualizaciones en el paquete de compensación laboral.

Aumento en el volumen de ataques por correo electrónico

El volumen de ataques avanzados por correo electrónico ha aumentado significativamente. Entre julio y diciembre de 2023, la mediana de ataques por cada mil buzones aumentó un 50%, pasando de 139 a 208, lo que refleja un crecimiento sostenido de las amenazas.

Asimismo, el compromiso del correo electrónico empresarial (BEC) y el compromiso del correo electrónico del proveedor (VEC) han emergido como formas particularmente sofisticadas de ataque. En un ataque de BEC, los ciberdelincuentes se hacen pasar por ejecutivos de alto nivel, como el CEO o el CFO, para manipular a los empleados y hacer que realicen transferencias de dinero fraudulentas o revelen información confidencial. Los ataques de VEC, por otro lado, se centran en suplantar a proveedores de confianza o socios comerciales con el fin de que las víctimas paguen facturas falsas o actualicen información bancaria con fines fraudulentos.

El BEC ha mostrado un crecimiento alarmante, con un aumento de más del 50% entre el segundo semestre de 2023 y el primer semestre de 2024. Mientras tanto, la tasa de ataques de VEC se ha mantenido estable, afectando a un 41% de los objetivos de forma semanal. La clave del éxito de estos ataques radica en su capacidad para eludir los controles tradicionales de seguridad, aprovechando la ingeniería social y los correos electrónicos aparentemente normales para manipular a los empleados.

Mecanismos de protección de los CIO

Ante este panorama, los CIOs deben adoptar un enfoque integral para mitigar los riesgos relacionados con los ataques por correo electrónico. Las estrategias clave incluyen:

• Formación continua: Es esencial que los colaboradores reciban capacitación regular sobre los riesgos del phishing y cómo identificar correos electrónicos sospechosos. Las sesiones de sensibilización deben incluir ejemplos de ataques recientes y promover el escepticismo saludable, animando a los colaboradores a verificar la autenticidad de los correos electrónicos, antes de realizar cualquier acción.
• Implementación de autenticación multifactor (MFA): La autenticación multifactor es una de las mejores prácticas para proteger las cuentas de correo electrónico y otros sistemas críticos. Añadir una capa adicional de seguridad dificulta que los atacantes comprometan una cuenta, incluso si logran obtener las credenciales de un usuario. Para los CIOs, implementar MFA debe ser una prioridad para proteger los activos digitales más sensibles de la organización.
• Uso de soluciones avanzadas de detección de amenazas: Las herramientas basadas en IA y aprendizaje automático pueden detectar patrones inusuales en los correos electrónicos y bloquear ataques de phishing antes de que lleguen a los usuarios. Estas soluciones pueden identificar correos electrónicos maliciosos incluso si parecen legítimos a simple vista. Es fundamental que los CIOs adopten estas tecnologías para reforzar la seguridad del correo electrónico.
• Verificación de la autenticidad de las solicitudes: Cualquier solicitud de transferencia de dinero o cambio en las cuentas bancarias debe ser verificada mediante un canal alternativo de comunicación, como una llamada telefónica o un mensaje de texto. Esta doble verificación ayuda a prevenir fraudes en los ataques de BEC y VEC, que son especialmente peligrosos, debido a su capacidad para manipular a los empleados.
• Filtrado de correos electrónicos maliciosos: Implementar filtros de spam avanzados y herramientas de análisis de contenido puede ayudar a prevenir que los correos electrónicos de phishing lleguen a la bandeja de entrada. Además, los CIOs deben asegurarse de que las soluciones de seguridad estén continuamente actualizadas para abordar las nuevas amenazas que surjan.

Manuel Moreno, Chief Information Security Officer (CISO) en IQSEC.