{"id":1296086,"date":"2024-07-29T14:08:21","date_gmt":"2024-07-29T14:08:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de-proofpoint-para-enviar-millones-de-correos-electronicos-de-phishing-falsificados\/"},"modified":"2024-07-29T14:08:25","modified_gmt":"2024-07-29T14:08:25","slug":"se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de-proofpoint-para-enviar-millones-de-correos-electronicos-de-phishing-falsificados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de-proofpoint-para-enviar-millones-de-correos-electronicos-de-phishing-falsificados\/","title":{"rendered":"Se aprovecha una falla de enrutamiento de correo electr\u00f3nico de Proofpoint para enviar millones de correos electr\u00f3nicos de phishing falsificados"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un actor de amenazas desconocido ha sido vinculado a una campa\u00f1a de estafa masiva que explot\u00f3 una configuraci\u00f3n incorrecta de enrutamiento de correo electr\u00f3nico en las defensas del proveedor de seguridad de correo electr\u00f3nico Proofpoint para enviar millones de mensajes suplantando a varias empresas populares como Best Buy, IBM, Nike y Walt Disney, entre otras.<\/p>\n<p>&#8220;Estos correos electr\u00f3nicos se hac\u00edan eco de los rel\u00e9s de correo electr\u00f3nico oficiales de Proofpoint con firmas SPF y DKIM autenticadas, eludiendo as\u00ed las principales protecciones de seguridad, todo para enga\u00f1ar a los destinatarios y robar fondos y detalles de tarjetas de cr\u00e9dito&#8221;, dijo el investigador de Guardio Labs, Nati Tal. <a rel=\"nofollow noopener\" href=\"https:\/\/labs.guard.io\/echospoofing-a-massive-phishing-campaign-exploiting-proofpoints-email-protection-to-dispatch-3dd6b5417db6\" target=\"_blank\">dicho<\/a> en un informe detallado compartido con The Hacker News.<\/p>\n<p>La empresa de ciberseguridad ha dado a la campa\u00f1a el nombre <strong>Falsificaci\u00f3n de eco<\/strong>Se cree que la actividad comenz\u00f3 en enero de 2024, cuando el actor de amenazas aprovech\u00f3 la falla para enviar hasta tres millones de correos electr\u00f3nicos por d\u00eda en promedio, una cifra que alcanz\u00f3 un pico de 14 millones a principios de junio cuando Proofpoint comenz\u00f3 a implementar contramedidas.<\/p>\n<p>&#8220;La parte m\u00e1s exclusiva y poderosa de este dominio es el m\u00e9todo de suplantaci\u00f3n de identidad, que pr\u00e1cticamente no deja ninguna posibilidad de darse cuenta de que no se trata de un correo electr\u00f3nico genuino enviado por esas empresas&#8221;, dijo Tal a la publicaci\u00f3n. <\/p>\n<p>&#8220;Este concepto de EchoSpoofing es realmente poderoso. Es un poco extra\u00f1o que se est\u00e9 utilizando para phishing a gran escala como este en lugar de una campa\u00f1a de phishing selectivo, donde un atacante puede tomar r\u00e1pidamente la identidad de cualquier miembro real del equipo de la empresa y enviar correos electr\u00f3nicos a otros compa\u00f1eros de trabajo; eventualmente, a trav\u00e9s de ingenier\u00eda social de alta calidad, obtener acceso a datos internos o credenciales e incluso comprometer a toda la empresa.<\/p>\n<p>La t\u00e9cnica, que implica que el actor de la amenaza env\u00ede los mensajes desde un servidor SMTP a un servidor privado virtual (VPS), es notable por el hecho de que cumple con <a rel=\"nofollow noopener\" href=\"https:\/\/today.ucsd.edu\/story\/forwarding_based_spoofing\" target=\"_blank\">Medidas de autenticaci\u00f3n y seguridad<\/a> como SPF y DKIM, que son las abreviaturas de Sender Policy Framework y DomainKeys Identified Mail, respectivamente, y se refieren a m\u00e9todos de autenticaci\u00f3n dise\u00f1ados para evitar que los atacantes imiten un dominio leg\u00edtimo.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Todo se remonta al hecho de que estos mensajes se enrutan desde varios inquilinos de Microsoft 365 controlados por el adversario, que luego se retransmiten a trav\u00e9s de las infraestructuras de correo electr\u00f3nico de los clientes empresariales de Proofpoint para llegar a los usuarios de proveedores de correo electr\u00f3nico gratuitos como Yahoo!, Gmail y GMX.<\/p>\n<p>Este es el resultado de lo que Guardio describi\u00f3 como una &#8220;falla de configuraci\u00f3n s\u00faper permisiva&#8221; en los servidores de Proofpoint (&#8220;pphosted.com&#8221;) que esencialmente permit\u00eda a los spammers aprovechar la infraestructura de correo electr\u00f3nico para enviar mensajes.<\/p>\n<p>&#8220;La causa principal es una funci\u00f3n de configuraci\u00f3n de enrutamiento de correo electr\u00f3nico modificable en los servidores de Proofpoint para permitir la retransmisi\u00f3n de mensajes salientes de las organizaciones desde los inquilinos de Microsoft 365, pero sin especificar qu\u00e9 inquilinos de M365 permitir&#8221;, Proofpoint <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/scammer-abuses-microsoft-365-tenants-relaying-through-proofpoint-servers-deliver\" target=\"_blank\">dicho<\/a> en un informe de divulgaci\u00f3n coordinado compartido con The Hacker News.<\/p>\n<p>&#8220;Cualquier infraestructura de correo electr\u00f3nico que ofrezca esta funci\u00f3n de configuraci\u00f3n de enrutamiento de correo electr\u00f3nico puede ser objeto de abuso por parte de los spammers&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722262099_585_Se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722262099_585_Se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de.png\" alt=\"Correos electr\u00f3nicos de phishing falsificados\" border=\"0\" data-original-height=\"667\" data-original-width=\"728\" title=\"Correos electr\u00f3nicos de phishing falsificados\"\/><\/a><\/div>\n<p>En otras palabras, un atacante puede utilizar la falla como arma para configurar inquilinos falsos de Microsoft 365 y enviar mensajes de correo electr\u00f3nico falsificados a los servidores de retransmisi\u00f3n de Proofpoint, desde donde se &#8220;reproducen&#8221; como mensajes digitales genuinos que se hacen pasar por los dominios de los clientes.<\/p>\n<p>Esto, a su vez, se logra configurando el conector de correo electr\u00f3nico saliente de Exchange Server directamente al punto final vulnerable pphosted.com asociado con el cliente. Adem\u00e1s, una versi\u00f3n pirateada de un software leg\u00edtimo de entrega de correo electr\u00f3nico llamado <a rel=\"nofollow noopener\" href=\"https:\/\/support.sparkpost.com\/docs\/integrations\/power-mta\" target=\"_blank\">PowerMTA<\/a> Se utiliza para enviar mensajes.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722262100_572_Se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722262100_572_Se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de.png\" alt=\"Correos electr\u00f3nicos de phishing falsificados\" border=\"0\" data-original-height=\"608\" data-original-width=\"728\" title=\"Correos electr\u00f3nicos de phishing falsificados\"\/><\/a><\/div>\n<p>&#8220;El spammer utiliz\u00f3 una serie rotativa de servidores privados virtuales (VPS) alquilados de varios proveedores, usando muchas direcciones IP diferentes para iniciar r\u00e1fagas r\u00e1pidas de miles de mensajes a la vez desde sus servidores SMTP, enviados a Microsoft 365 para ser retransmitidos a los servidores de clientes alojados en Proofpoint&#8221;, dijo Proofpoint.<\/p>\n<p>&#8220;Microsoft 365 acept\u00f3 estos mensajes falsificados y los envi\u00f3 a las infraestructuras de correo electr\u00f3nico de estos clientes para que se retransmitieran. Cuando se falsificaron los dominios de los clientes durante la retransmisi\u00f3n a trav\u00e9s de la infraestructura de correo electr\u00f3nico del cliente correspondiente, tambi\u00e9n se aplic\u00f3 la firma DKIM a medida que los mensajes transitaban por la infraestructura de Proofpoint, lo que hizo que los mensajes de spam fueran m\u00e1s f\u00e1ciles de entregar&#8221;.<\/p>\n<p>Se sospecha que los operadores eligieron intencionalmente EchoSpoofing como una forma de generar ingresos ilegales y evitar el riesgo de exposici\u00f3n durante per\u00edodos prolongados de tiempo, ya que apuntar directamente a las empresas a trav\u00e9s de este modus operandi podr\u00eda haber aumentado dr\u00e1sticamente las posibilidades de ser detectado, poniendo en peligro todo el esquema.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722262101_722_Se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1722262101_722_Se-aprovecha-una-falla-de-enrutamiento-de-correo-electronico-de.png\" alt=\"\" border=\"0\" data-original-height=\"550\" data-original-width=\"1400\"\/><\/a><\/div>\n<p>Dicho esto, actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a. Proofpoint afirm\u00f3 que la actividad no se superpone con ning\u00fan actor o grupo de amenazas conocido.<\/p>\n<p>&#8220;En marzo, los investigadores de Proofpoint identificaron campa\u00f1as de spam que se transmit\u00edan a trav\u00e9s de la infraestructura de correo electr\u00f3nico de un peque\u00f1o n\u00famero de clientes de Proofpoint mediante el env\u00edo de spam desde inquilinos de Microsoft 365&#8221;, afirm\u00f3 en un comunicado. &#8220;Todos los an\u00e1lisis indican que esta actividad fue realizada por un actor de spam, cuya actividad no atribuimos a una entidad conocida&#8221;.<\/p>\n<p>&#8220;Desde que descubrimos esta campa\u00f1a de spam, hemos trabajado diligentemente para brindar instrucciones correctivas, incluida la implementaci\u00f3n de una interfaz administrativa optimizada para que los clientes especifiquen qu\u00e9 inquilinos de M365 pueden retransmitir, mientras que todos los dem\u00e1s inquilinos de M365 tienen prohibido hacerlo de forma predeterminada&#8221;.<\/p>\n<p>Proofpoint enfatiz\u00f3 que no se expusieron datos de sus clientes ni ninguno de ellos sufri\u00f3 p\u00e9rdida de datos como resultado de estas campa\u00f1as. Se\u00f1al\u00f3 adem\u00e1s que se comunic\u00f3 directamente con algunos de sus clientes para cambiar sus configuraciones y detener la efectividad de la actividad de spam de retransmisi\u00f3n saliente.<\/p>\n<p>&#8220;Cuando empezamos a bloquear la actividad del spammer, \u00e9ste aceler\u00f3 sus pruebas y se traslad\u00f3 r\u00e1pidamente a otros clientes&#8221;, se\u00f1al\u00f3 la empresa. &#8220;Establecimos un proceso continuo de identificaci\u00f3n de los clientes afectados cada d\u00eda y reordenamos las prioridades para solucionar las configuraciones&#8221;.<\/p>\n<p>Para reducir el spam, insta a los proveedores de VPS a limitar la capacidad de sus usuarios para enviar grandes vol\u00famenes de mensajes desde servidores SMTP alojados en su infraestructura. Tambi\u00e9n pide a los proveedores de servicios de correo electr\u00f3nico que restrinjan las capacidades de los usuarios de prueba gratuita y de los nuevos usuarios no verificados para enviar mensajes de correo electr\u00f3nico salientes masivos, as\u00ed como que les impidan enviar mensajes que suplanten un dominio del que no han demostrado ser propietarios.<\/p>\n<p>&#8220;Para los CISO, la principal lecci\u00f3n que deben aprender es que deben cuidar especialmente la postura de su organizaci\u00f3n en la nube, especialmente en lo que respecta al uso de servicios de terceros que se convierten en la columna vertebral de los m\u00e9todos de comunicaci\u00f3n y redes de su empresa&#8221;, afirm\u00f3 Tal. &#8220;En particular, en el \u00e1mbito del correo electr\u00f3nico, es importante mantener siempre un ciclo de retroalimentaci\u00f3n y un control propio, incluso si conf\u00edan plenamente en su proveedor de correo electr\u00f3nico&#8221;.<\/p>\n<p>&#8220;Y en cuanto a otras empresas que ofrecen este tipo de servicios b\u00e1sicos, al igual que lo hizo Proofpoint, deben estar alertas y ser proactivas y pensar en todos los tipos de amenazas posibles en primer lugar. No solo las amenazas que afectan directamente a sus clientes, sino tambi\u00e9n al p\u00fablico en general.<\/p>\n<p>&#8220;Esto es crucial para la seguridad de todos nosotros y las empresas que crean y operan la columna vertebral de Internet, incluso si son privadas, tienen la m\u00e1xima responsabilidad al respecto. Como dijo alguien, en un contexto completamente diferente pero muy relevante aqu\u00ed: &#8216;Un gran poder conlleva una gran responsabilidad'&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/proofpoint-email-routing-flaw-exploited.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un actor de amenazas desconocido ha sido vinculado a una campa\u00f1a de estafa masiva que explot\u00f3 una configuraci\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":1296087,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6132,4661,4664,1838,27970,5933,27936,160258,1179,2503,42475,4662,4668,4667,239182,327,4654,239508,4658,4659,4653,18,8178,244978,4666,4665,158,239484],"class_list":["post-1296086","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovecha","tag-ataques-ciberneticos","tag-como-hackear","tag-correo","tag-correos","tag-electronico","tag-electronicos","tag-enrutamiento","tag-enviar","tag-falla","tag-falsificados","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-millones","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-phishing","tag-proofpoint","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1296086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1296086"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1296086\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1296087"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1296086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1296086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1296086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}