Tras el reciente ciberataque a Microsoft Exchange, las últimas investigaciones apuntan a que  los presuntos piratas informáticos chinos extrajeron contraseñas e información personal adquirida de antemano para llevar a cabo el ataque.

El continuo ataque al servidor de correo electrónico Microsoft Exchange Server desde el pasado mes de enero, si bien fue en marzo cuando Microsoft parcheó sus servidores, ha provocado varias líneas de investigación. Una de ellas apunta a que los atacantes aprovecharon una sucesión de errores, previamente desconocidos, para infiltrarse en los sistemas de Exchange Server y atacar a diferentes usuarios. Pero para hacer eso, los ciberdelincuentes tenían que conocer las cuentas de correo electrónico de los administradores del sistema de las respectivas redes sociales. En este sentido, se cree que los atacantes disponían de información personal que los conducía a las cuentas de correo electrónico de los administradores del sistema, bien porque había sido sustraída de hackeos anteriores o bien de perfiles públicos de redes sociales, como LinkedIn.

Si bien es posible que los atacantes de Microsoft simplemente tuvieran suerte, sabemos que ha habido un marcado cambio en los patrones de ataque para apuntar con precisión a ciertas personas. Los atacantes saben cómo identificar las cuentas privilegiadas que quieren comprometer y, a menudo, pueden conocer la totalidad de las credenciales que protegen esas cuentas al analizar lo que está disponible públicamente en las plataformas de redes sociales. La naturaleza cambiante del trabajo requiere la apertura de más servicios y aplicaciones de acceso remoto para usuarios y administradores empresariales. A su vez, los atacantes están extendiendo sus ataques de suplantación de identidad contra activos de alto valor o alto nivel. La posibilidad de comprometer las credenciales privilegiadas nunca ha sido tan elevada.

Por ello, las empresas que adopten estrategias de Zero Trust, limitando el número de cuentas en las que se confía de forma predeterminada, pueden protegerse contra este tipo de ataques. El ataque a Microsoft se parece mucho a la cadena de ataques que estamos viendo cada día: realizar reconocimientos, ganar confianza y luego robar credenciales o datos. Las compañías que incorporen los principios de Zero Trust y el mínimo privilegio en sus estrategias de seguridad de la identidad estarán mejor posicionadas para poder interrumpir esta cadena de ataques.

About Author

Avatar

director senior del equipo de investigación cibernética de CyberArk

Deja un comentario