Marc Sureda
La firma especializada en ciberseguridad Check Point Software Technologies ha revelado el descubrimiento de una compleja campaña de phishing que marca un cambio significativo en las tácticas empleadas por los atacantes. A diferencia de las estrategias convencionales que se basan en la creación de dominios falsos o la inclusión de enlaces maliciosos directos, esta nueva ola de ataques instrumentaliza las funciones nativas de servicios en la nube para heredar la confianza, la reputación y la autenticación de proveedores de renombre. Al utilizar plataformas SaaS (Software-as-a-Service) legítimas, los delincuentes han logrado distribuir estafas telefónicas con un alto grado de credibilidad.
La metodología detectada por los analistas indica que los ciberdelincuentes han dejado de depender de enlaces sospechosos para centrarse en explotar los flujos de trabajo válidos de las aplicaciones. La técnica consiste en que insertan contenido fraudulento en campos controlados por los usuarios, como nombres de cuentas o atributos de perfil, que posteriormente se reflejan en las notificaciones automáticas del sistema. De este modo, se generan correos electrónicos desde dominios de alta reputación que superan todas las verificaciones de autenticación, como SPF o DKIM, y presentan una apariencia de comunicación rutinaria. Este camuflaje dificulta enormemente la detección automática por parte de los sistemas de defensa y reduce el nivel de sospecha del receptor humano.
El objetivo final de esta manipulación es transfiriendo la fase final del ataque a la ingeniería social por voz, una técnica conocida como vishing. Al incitar a la víctima a realizar una llamada telefónica a números de soporte controlados por los atacantes, se eluden los análisis de URL y los sistemas de reputación de enlaces que protegen el correo electrónico corporativo. La investigación señala que esta campaña ya ha generado un volumen aproximado de 133.260 correos electrónicos de phishing y ha afectado a 20.049 empresas a nivel mundial. Entre las marcas cuya infraestructura ha sido objeto de abuso o suplantación figuran nombres de la talla de: Microsoft, Zoom, Amazon, PayPal, YouTube y Malwarebytes.
Para lograr que el mensaje fraudulento sea indistinguible de una comunicación legítima, los actores de la amenaza han desarrollado métodos específicos. Uno de ellos es la manipulación de metadatos en plataformas como Zoom o PayPal, donde se generan correos con mensajes urgentes sobre facturación que instruyen al usuario a contactar con un soporte falso. Todo ello bajo el paraguas de la infraestructura real de la plataforma. Otro vector destacado son las notificaciones de Microsoft; los atacantes configuran tenants válidos para enviar correos automáticos donde el fraude aparece en el asunto o el cuerpo del mensaje. Dado que los correos se envían desde la infraestructura oficial de Microsoft y están totalmente autenticados, resultan extremadamente difíciles de distinguir de las comunicaciones reales.
De la misma forma, se ha detectado la explotación de los flujos de invitación de Amazon Business. En este escenario, se inserta texto con cargos falsos y números de contacto en los campos de invitación, y es la propia Amazon la que muestra este contenido en el correo enviado a través de Amazon SES. Esto permite que los mensajes parezcan notificaciones legítimas de negocios sin que los atacantes necesiten una infraestructura de correo propia. La concentración de estos incidentes en el último trimestre sugiere que los delincuentes consideran este abuso de las plataformas SaaS como un método escalable que ofrece un alto retorno con un esfuerzo relativamente bajo.
Impacto sectorial y alcance geográfico de la amenaza
El análisis de los datos recabados muestra una clara incidencia sobre industrias que poseen una alta dependencia de las plataformas digitales. Los sectores más castigados por este abuso de SaaS han sido el ámbito de la Tecnología, el propio sector SaaS y las TI, aglutinando casi el 27% de los ataques. Les siguen la Manufactura, Industria e Ingeniería con un 21,4%, y el entorno empresarial B2B no específico con un 18,9%. Otros sectores como la Educación, las Finanzas y el Gobierno también han sufrido el impacto, aunque en menor medida, lo que evidencia una estrategia dirigida hacia entornos corporativos digitalizados.
Desde una perspectiva geográfica, la campaña tiene un alcance global con un foco predominante en Estados Unidos, donde se ubican casi el 67% de las empresas afectadas. No obstante, Europa representa una parte significativa del impacto total con un 17,8% de las incidencias, lo que alerta a los responsables de tecnología del continente sobre la vigencia de esta amenaza en nuestro entorno. Por su parte,(en Latinoamérica) países como Brasil y México encabezan la lista de afectados. Este escenario pone de manifiesto que, a medida que los servicios en la nube dominan la comunicación empresarial, los departamentos de TI deben asumir que los correos provenientes de marcas confiables no son intrínsecamente seguros y deben vigilar el uso indebido contextual de servicios legítimos.
