La manipulación de correos electrónicos estudiantiles en estrategias de phishing se está perfilando como una modalidad emergente de ciberataque, denominada Compromiso de Correo Electrónico Empresarial (BEC). Esta técnica está ganando terreno debido a la credibilidad inherente que poseen estas direcciones de correo, lo que aumenta significativamente su tasa de éxito.
Fue un equipo de expertos en ciberseguridad quienes detectaron un incremento en la usurpación de cuentas de email pertenecientes a estudiantes, utilizadas posteriormente en operaciones de fraude. Este hallazgo subraya una evolución preocupante en las tácticas de ciberdelincuencia.
En el pasado, los ataques BEC se dirigían principalmente a correos electrónicos corporativos. No obstante, una versión renovada y más insidiosa de estos ataques, a veces referida como BEC 2.0, ha cambiado el juego. En esta nueva estrategia, los ciberdelincuentes "secuestran" las cuentas de correo electrónico de estudiantes y las manipulan para ejecutar sus actividades maliciosas.
Te podría interesar leer: Ataque BEC: Previniendo el Compromiso de Correo Empresarial
Uno de los principales desafíos para combatir esta amenaza es su sofisticación y discreción. Los ataques se ejecutan a través de servicios de correo electrónico y portales web auténticos, lo que hace que la detección y neutralización de estas campañas fraudulentas sea particularmente complicada. Este uso de plataformas legítimas disfraza eficazmente las intenciones maliciosas de los actores de amenazas, requiriendo así métodos de defensa cibernética más avanzados y proactivos.
Una vez que los ciberdelincuentes consiguen infiltrarse en una cuenta de correo electrónico de un estudiante, utilizan este acceso para lanzar campañas de phishing. En términos prácticos, esto implica que el intruso tiene la capacidad de enviar mensajes fraudulentos a los contactos del estudiante, suplantando su identidad.
Una manifestación común de esta estrategia podría ser un mensaje que adopta un tono casual y amistoso, salpicado de llamados a la acción urgentes y ofertas atractivas. Los estafadores pueden recurrir a expresiones como "es la tercera vez que intento comunicarme" o proponer la entrega de una cantidad significativa de dinero. Estos elementos están diseñados para provocar una reacción impulsiva entre los receptores del mensaje.
En una táctica de evasión adicional, los ciberdelincuentes suelen manipular las direcciones de correo electrónico, sustituyendo letras por símbolos o realizando cambios sutiles que puedan pasar desapercibidos, para esquivar los sistemas de seguridad. Estas direcciones manipuladas pueden hacer referencia a dominios auténticos o, en algunos casos, a dominios que imitan ser legítimos, como por ejemplo “fiancier.com”, un servicio de correo real que se ha vinculado con intentos de phishing en el pasado.
Podría interesarte: Protegiendo tu Empresa de los Ataques de Phishing por Emails
La desinformación propagada a través de estas cuentas comprometidas puede variar en contenido, pero es típicamente diseñada para incitar al miedo, la incertidumbre, o promover agendas políticas o sociales específicas. En un contexto más amplio, estos ataques representan un riesgo para la seguridad cibernética y la integridad informativa dentro de las comunidades educativas y más allá.
Para las instituciones académicas, estos incidentes pueden manchar su reputación, disminuir la confianza del estudiante en los canales oficiales de comunicación, y causar interrupciones significativas en la operación y administración académica. Además, la desinformación puede sembrar división y confusión en momentos críticos, como durante las elecciones, emergencias de salud pública, y otros eventos significativos.
Afortunadamente, hay pasos proactivos que los estudiantes, el personal académico y las instituciones pueden tomar para proteger sus cuentas de correo electrónico y mitigar el riesgo de estas amenazas.
Educación y Conciencia Cibernética: La primera línea de defensa contra cualquier amenaza cibernética es la conciencia y la educación. Los estudiantes y el personal deben estar informados sobre las mejores prácticas de seguridad cibernética, incluyendo la identificación de intentos de phishing, la importancia de contraseñas fuertes y la utilización de autenticación de dos factores.
Herramientas Antivirus y Anti-Malware: Asegurar que todos los dispositivos conectados a la red de la institución tengan software antivirus y anti-malware actualizado puede ayudar a prevenir brechas de seguridad.
Políticas de Seguridad Robustas: Las instituciones educativas deben implementar políticas de seguridad cibernética claras y robustas. Esto incluye regular cómo se gestionan y se protegen los datos del estudiante, estableciendo protocolos para el uso de correos electrónicos y acceso a la red, y delineando las consecuencias para quienes no cumplan.
Sistemas de Autenticación Mejorados: Implementar sistemas de autenticación de múltiples factores para acceder a cuentas de correo electrónico y otros sistemas importantes puede proporcionar una capa adicional de seguridad, dificultando que los ciberdelincuentes accedan a las cuentas.
Monitoreo Continuo y Respuesta a Incidentes: Las instituciones deben también invertir en soluciones de seguridad que ofrezcan monitoreo en tiempo real de sus redes para detectar actividades sospechosas rápidamente. Además, deben estar preparados con un plan de respuesta a incidentes para actuar decisivamente en caso de una brecha de seguridad.
La seguridad cibernética en el ámbito educativo es un desafío constante, especialmente con los ciberdelincuentes encontrando nuevas vías para perpetrar sus ataques. Sin embargo, mediante la educación, la inversión en herramientas y protocolos de seguridad adecuados y fomentando una cultura de vigilancia cibernética, los estudiantes y las instituciones educativas pueden protegerse contra la amenaza de desinformación y asegurar que sus sistemas de comunicación sirvan como plataformas confiables y seguras para el intercambio de información verdadera y auténtica.
Al tomar estos pasos, no sólo estamos protegiendo nuestras cuentas y datos individuales, sino que también estamos contribuyendo a la lucha más amplia contra la desinformación y la ciberdelincuencia. En un mundo cada vez más conectado digitalmente, cada acción cuenta y todos tenemos un papel que desempeñar en la protección del ciberespacio.