Hackers rusos hurtan emails de Microsoft

Recientemente, el mundo de la ciberseguridad fue testigo de un acontecimiento alarmante: un grupo de hackers rusos logró acceder y robar correos electrónicos corporativos de Microsoft durante una brecha de seguridad que duró un mes. Este incidente destaca la creciente sofisticación de los ciberataques y la importancia de robustecer las estrategias de seguridad en empresas de todos los tamaños.

¿Qué sucedió exactamente?

El viernes por la noche, Microsoft emitió una advertencia de que algunas de sus cuentas de correo electrónico corporativas habían sido comprometidas y sus datos robados por un grupo de piratería patrocinado por el estado ruso conocido como Midnight Blizzard. El ataque fue detectado por la compañía el 12 de enero y, tras una investigación, se determinó que fue perpetrado por actores de amenazas rusos comúnmente conocidos como Nobelium o APT29.

Microsoft reveló que los piratas informáticos lograron violar sus sistemas en noviembre de 2023 mediante un ataque de pulverización de contraseñas. Este tipo de ataque implica que los actores de amenazas recopilen una lista de posibles nombres de usuario y luego intenten iniciar sesión en ellos utilizando una contraseña específica. Si la contraseña falla, repiten el proceso con otras contraseñas hasta lograr el acceso. El hecho de que los piratas informáticos hayan tenido éxito sugiere que la cuenta no estaba protegida con autenticación de dos factores (2FA) o autenticación multifactor (MFA), prácticas de seguridad recomendadas por Microsoft.

Una vez que los piratas informáticos obtuvieron acceso a la cuenta de "prueba", la utilizaron para acceder a un "pequeño porcentaje" de las cuentas de correo electrónico corporativas de Microsoft durante más de un mes. No está claro por qué una cuenta de prueba que no era de producción tenía permisos para acceder a otras cuentas en el sistema de correo electrónico corporativo de Microsoft.

Las cuentas de correo electrónico violadas incluyeron a miembros del equipo de liderazgo de Microsoft y empleados de los departamentos legal y de ciberseguridad, cuyos correos electrónicos y archivos adjuntos fueron robados por los piratas informáticos.

Microsoft enfatizó que esta violación no fue causada por una vulnerabilidad en sus productos y servicios, sino por un ataque de fuerza bruta a las contraseñas de las cuentas. Sin embargo, parece que una parte significativa de la brecha de seguridad se debió a una configuración deficiente de la cuenta comprometida.

A pesar de la investigación en curso, Microsoft aseguró que compartirá más detalles según corresponda. En una presentación ante la SEC en el Formulario 8-K, la compañía afirmó que la infracción no tuvo un impacto material en sus operaciones.

Te podrá interesar leer:  Contraseñas Seguras vs Ataques de Fuerza Bruta

¿Quién es Nobelium?

Nobelium, también conocido como Midnight Blizzard, APT29 y Cozy Bear, es un grupo de piratería patrocinado por el estado ruso que se presume está vinculado al Servicio de Inteligencia Exterior de Rusia (SVR). A lo largo de los años, este grupo ha sido identificado en numerosos ataques de ciberseguridad.

Su notoriedad se disparó cuando el gobierno de los Estados Unidos los relacionó con el ataque a la cadena de suministro de SolarWinds en 2020, que también afectó a Microsoft en ese momento. Posteriormente, Microsoft confirmó que este ataque permitió a los piratas informáticos robar el código fuente de algunos componentes de Azure, Intune y Exchange.

En junio de 2021, Nobelium volvió a la atención al violar una cuenta corporativa de Microsoft, lo que les permitió acceder a herramientas de atención al cliente. Además de llevar a cabo actividades de ciberespionaje y robo de datos, Nobelium se destaca por desarrollar malware personalizado para utilizar en sus ataques.

Microsoft ha sido un objetivo constante debido a su influencia en el control de una gran parte de los datos y servicios utilizados por gobiernos y empresas en todo el mundo. Recientemente, la compañía fue víctima de un ataque por parte de piratas informáticos chinos que robaron una clave de firma de Microsoft, lo que les permitió acceder a las cuentas de correo electrónico de una veintena de organizaciones, incluyendo agencias gubernamentales de Estados Unidos y Europa occidental.

Conoce más sobre:  Hacktivismo en la Era Moderna: Una Mirada al Paisaje Cambiante

¿Qué puedes hacer para proteger tu correo corporativo?

El ataque a Microsoft pone de manifiesto lo peligrosos que son los actores estatales rusos (y Midnight Blizzard en particular) para todas las organizaciones de TI. Si quieres evitar que tu correo corporativo caiga en manos de estos ciberdelincuentes, te recomiendo que sigas estas buenas prácticas de seguridad:

1. Utiliza contraseñas seguras y únicas para cada cuenta de correo electrónico. Evita usar contraseñas comunes, fáciles de adivinar o que hayas usado en otros servicios. Cambia tus contraseñas con regularidad y no las compartas con nadie. Puedes usar un gestor de contraseñas para generar y almacenar tus contraseñas de forma segura.
   
   
2. Habilita la autenticación de dos factores (2FA) para tus cuentas de correo electrónico. La 2FA es una capa adicional de seguridad que requiere que introduzcas un código que se te envía por SMS, por correo electrónico o por una aplicación, además de tu contraseña, para acceder a tu cuenta. De esta forma, aunque alguien consiga tu contraseña, no podrá entrar en tu cuenta sin el código.
   
   
3. Mantén actualizados tus dispositivos y aplicaciones. Las actualizaciones suelen incluir parches de seguridad que corrigen vulnerabilidades que podrían ser explotadas por los hackers. Asegúrate de tener siempre la última versión de tu sistema operativo, de tu navegador, de tu cliente de correo electrónico y de cualquier otra aplicación que uses para acceder a tu correo corporativo.
   
   
4. Utiliza una conexión segura y cifrada. Evita conectarte a tu correo corporativo desde redes públicas o no confiables, como las de hoteles, aeropuertos o cafeterías. Estas redes pueden ser interceptadas por los hackers para robar tus datos. Si tienes que usar una red pública, usa una VPN (red privada virtual) para cifrar tu tráfico y proteger tu privacidad. Además, comprueba que la URL de tu correo electrónico empieza por https://, lo que indica que la conexión es segura y que los datos se transmiten de forma encriptada.
   
   
5. Educa a tus trabajadores sobre la seguridad del correo electrónico. Muchos ataques de hackers se basan en el factor humano, aprovechando la falta de conocimiento o la ingenuidad de los usuarios. Por eso, es importante que tus empleados sepan cómo reconocer y evitar las amenazas más comunes, como el phishing, el malware, el spam o el spoofing. Ofrece formación y concienciación sobre la seguridad del correo electrónico a tus empleados y establece unas políticas y unas normas claras al respecto.

Conoce más sobre:  Ataque BEC: Previniendo el Compromiso de Correo Empresarial

Conclusión

El correo electrónico es una herramienta indispensable para el trabajo, pero también un objetivo atractivo para los hackers. El reciente ataque a Microsoft por parte de los hackers rusos demuestra que nadie está a salvo de estas amenazas y que hay que tomar medidas para proteger el correo corporativo. Siguiendo las buenas prácticas de seguridad, podrás reducir el riesgo de que tu correo corporativo sea comprometido y mantener tu información a salvo. Recuerda que la seguridad del correo electrónico es responsabilidad de todos y que una sola cuenta vulnerable puede poner en peligro a toda la organización.