El equipo CERT España de Stoïk, insurtech especializada en riesgos cibernéticos, ha detectado una nueva campaña de phishing que podría estar orientada específicamente a agencias y mediadores de seguros.
Suplantación de Office 365 para capturar credenciales
La campaña se inicia con el envío de un correo electrónico que simula compartir un documento en PDF. Al hacer clic en el enlace, el usuario es redirigido a una página fraudulenta que suplanta el inicio de sesión de Microsoft Office 365 con el objetivo de capturar credenciales corporativas.
El mecanismo empleado por los atacantes está diseñado para generar una falsa sensación de error:
- El usuario introduce sus credenciales.
- El sistema muestra un aviso de contraseña incorrecta.
- Se solicita nuevamente la contraseña.
- Tras introducirla de nuevo, las credenciales son enviadas al atacante.
- Finalmente, el usuario es redirigido a la página oficial de Office 365, lo que refuerza la percepción de que simplemente se equivocó al teclear la contraseña.
Vulnerabilidad incluso con doble factor de autenticación
Fernando Torrijos Mediavilla, analista CERT de Stoïk Iberia, advierte de que en esta campaña las credenciales pueden ser robadas incluso en compañías que disponen de doble factor de autenticación (MFA), lo que incrementa el nivel de riesgo para las organizaciones afectadas.
Según el análisis realizado por el equipo CERT de Stoïk en España, el objetivo principal de los atacantes sería la recopilación masiva de credenciales corporativas para su posterior venta en la dark web o su utilización directa para acceder a los sistemas de las empresas afectadas y ampliar el impacto del ataque.
Medidas adoptadas y advertencia al sector por parte de Stoïl
La compañía ha comunicado la incidencia a los proveedores de dominios implicados, logrando la eliminación de parte del contenido malicioso, y también ha notificado a Google, lo que ha permitido que se muestre una página de advertencia al intentar acceder a los dominios detectados.
No obstante, Torrijos subraya que la mitigación es compleja: “Aunque ya hemos conseguido que se retiren algunas URLs maliciosas, lo cierto es que es muy sencillo para los atacantes cambiar de dominio para seguir atacando, por lo que es importante estar alerta ante cualquier recepción de correo sospechoso”.
Ante este escenario, Stoïk recomienda extremar la vigilancia ante correos que incluyan enlaces a documentos externos, verificar siempre la URL antes de introducir credenciales y reforzar las políticas internas de concienciación y ciberseguridad, especialmente en organizaciones del ámbito asegurador, donde la información gestionada resulta especialmente sensible.