En el primer cuatrimestre de este año, Google y Microsoft fueron las marcas más suplantadas para la ejecución de ataques de phishing. Los ciber actores hicieron uso del servicio de formularios que ambas marcas tienen disponibles en la nube como drive.google.com, storage.cloud.google.com, onedrive.live.com y forms.office.com. En total se reportaron más de 100 mil ataques basados en formularios, en donde el uso de sitios de almacenamiento y el uso compartido de archivos de Google representó el 65%, mientras que el uso de los servicios de almacenamiento de Microsoft representó el 15%, y otros sitios como Sendgrid el 10%, Mailchimp el 6% y Formcrast.com el 4%.

Este tipo de ataques de phishing tuvieron un alto grado de eficiencia debido a la gran confianza de la gente en las dos principales marcas y a que la suplantación estaba muy bien elaborada, ya que el envío de archivos o formularios maliciosos se hicieron mediante el uso de dominios de Google y Microsoft (servicios de nube). Esto significa que cuando un archivo o formulario era enviado, se solicitaban las credenciales de inicio de sesión de usuario (formulario de phishing) para tener acceso a la información, dificultando a las víctimas identificar que se trataba de un intento de robo de información.

La eficiencia de este tipo de ataque también se debió en parte a la pandemia de COVID19, que obligó a muchas empresas a trabajar de manera remota, quienes al no contar con esquemas de comunicaciones privados (VPN) para continuar sus operaciones, comenzaron a hacer uso de nubes públicas como Google y Microsoft para trabajar y compartir información confidencial.

Durante estas campañas de phishing se observó una tendencia más marcada de los ciber actores por el robo de credenciales de inicio de sesión, que la dispersión de Ransomware.

Como medidas de contención para este tipo de ataques las organizaciones deben de capacitar a todo su personal mediante la creación de campañas de concientización, en las que se le enseña al usuario a identificar un phishing en su correo electrónico y a estar atento en todo momento a que las URL coincidan con el dominio adecuado. A la primera sospecha de un archivo o correo electrónico extraño o sospechoso deberán reportarlo al área de seguridad de la información de su organización.

Como segunda estrategia se deben implementar controles de seguridad adicionales para robustecer el inicio de sesión en las plataformas de correo electrónico. Como ejemplo, el uso de doble factor de autenticación es una de las formas más eficientes de erradicar el impacto de una campaña de phishing, ya que además de solicitar usuario y contraseña, solicita un token, el cual normalmente es proporcionado por una aplicación externa a la plataforma de correo como Google authenticator, la cual genera en tiempo real una secuencia de números que se usan para autenticar a un usuario.

Una estrategia adicional que debe considerarse es aplicar filtros que permitan el análisis en tiempo real de enlaces o archivos adjuntos que vengan contenidos en un correo electrónico, y bloquear todo aquello que sea identificado como sospechoso.