Los expertos de Kaspersky detectaron una modalidad de estafa que gana popularidad entre los ciberdelincuentes y representa un peligro en aumento para las empresas. A diferencia del phishing tradicional, esta técnica emplea correos electrónicos reales enviados desde la dirección oficial de Microsoft (microsoft-noreply@microsoft.com), lo que hace más difícil su detección y aumenta su efectividad.
El fraude inicia cuando un trabajador recibe una comunicación auténtica que valida la adquisición de licencias de software por varios cientos de dólares. A pesar de que el correo electrónico se origina del sistema de Microsoft 365, los delincuentes alteran la información de facturación para incluir un número telefónico falso, junto con un mensaje que aconseja llamar en caso de que haya algún inconveniente con la operación.
Preocupado por una compra que no realizó y sin la capacidad de contestar el correo ya que es un remitente automático, el trabajador decide llamar al número. Le atiende un individuo que se presenta como soporte técnico de Microsoft y le sugiere que descargue un programa en su computador. Sin embargo, esa aplicación en realidad es dañina: puede permitir a los criminales observar las actividades del usuario, robar credenciales, entrar en cuentas bancarias o incluso apoderarse por completo del dispositivo.
Una posible explicación que ofrecen los expertos de Kaspersky es que los criminales podrían haber conseguido credenciales que les permitan realizar compras fraudulentas y hacer que el sistema envíe automáticamente estos correos electrónicos a la víctima deseada. El único aspecto que tienen la capacidad de alterar es la información de facturación, donde introducen su propio número y mensaje. Dado que el resto del correo electrónico es auténtico, el mensaje supera los controles de seguridad sin inconvenientes.
Junto con el riesgo inmediato para el trabajador afectado, este tipo de ataques es un peligro considerable ya que muchas personas utilizan sus dispositivos laborales para actividades personales. Como indica el estudio Resaca Digital de Kaspersky, el 72% de los usuarios en Chile revisa sus correos electrónicos personales desde el equipo laboral, el 44% accede o publica en redes sociales y el 44% realiza compras online. Estas malas prácticas expanden la superficie de ataque, ya que los criminales pueden valerse de cualquier descuido, como una contraseña débil o un acceso simultáneo a servicios personales, para obtener información relevante o introducir software malicioso.
En el ámbito empresarial, un computador vulnerado puede convertirse en una entrada para llevar a cabo un asalto a toda la entidad. Si el agresor consigue introducir un software dañino, podría desplazarse por la red, obtener contraseñas de sistemas internos, capturar información sensible e incluso realizar ataques más devastadores, como el secuestro de información (ransomware). En estas situaciones, el perjuicio no se limita únicamente al usuario, sino que puede aumentar rápidamente y amenazar la operación continua de la compañía.
“Este tipo de estafa es especialmente peligrosa porque se basa en un engaño emocional muy simple: el miedo a haber cometido un error costoso en el trabajo. Los atacantes saben que, si logran asustar a alguien con una supuesta compra de cientos de dólares, lo más probable es que actúe rápido sin pensar demasiado. Y como el correo viene de Microsoft, no genera sospechas,” señala Lisandro Ubiedo, analista de seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
“Lo más grave es que muchas soluciones de seguridad no bloquean estos mensajes, porque son legítimos. No se trata de un correo falso, sino de un uso malintencionado de un sistema verdadero. Por eso, más que nunca, la prevención y la educación son clave”, agregó el especialista.
Los expertos de Kaspersky entregan los siguientes consejos para evitar este tipo de fraude:
• No llamar a teléfonos que aparecen en correos electrónicos, a menos que hayan sido verificados previamente: En caso de encontrar una situación dudosa, jamás se debe fiar de un número que aparezca en el mensaje. Es fundamental comunicarse con el proveedor de tecnología utilizando su página web oficial o recurriendo al departamento de sistemas de la compañía.
• Que todos los dispositivos usados para trabajar cuenten con protección digital: Es crucial contar con un programa de seguridad eficaz que identifique si una aplicación intenta manipular el computador, acceder a información confidencial o registrar lo que se teclea. Esto puede prevenir que ocurran daños en caso de que alguien sea víctima de una estafa.
• Revisar periódicamente las cuentas de Microsoft 365 de la empresa: Comprobar qué cuentas están operativas, qué autorizaciones poseen y de qué manera se están utilizando facilita la identificación de acciones inusuales antes de que generen inconvenientes mayores.
• Instaurar protocolos internos claros: Es esencial que todos los empleados conozcan el procedimiento a seguir si reciben un mensaje extraño o si piensan que han cometido un fallo. Contar con un conjunto de instrucciones básicas y precisas para los primeros pasos puede prevenir que un inconveniente menor escale a una situación crítica.
• Entrenar regularmente al personal sobre cómo identificar intentos de estafa: Los trabajadores necesitan entender que no todo lo que aparenta ser verdadero lo es. A través de capacitaciones cortas, efectivas y recurrentes, es factible instruir a identificar indicios de advertencia. Plataformas como Kaspersky Automated Security Awareness permiten que estas enseñanzas se lleven a cabo de manera sencilla y automática.
