La percepción de seguridad en las aplicaciones de chat basadas en la nube, tales como Microsoft Teams o Slack, frecuentemente se infravalora. Los trabajadores, al comunicarse mediante estas aplicaciones integradas a su infraestructura empresarial, suelen sentir un erróneo sentido de protección. Esta falsa sensación de seguridad en las interacciones internas facilita que actores maliciosos realicen ataques complejos mediante un espectro variado de acciones dañinas.
Al engañar a trabajadores incautos en estas plataformas de chat SaaS, los criminales pueden ejecutar estrategias de phishing, desplegar software malicioso y aplicar técnicas avanzadas de manipulación psicológica.
La sofisticación de estas técnicas plantea un desafío significativo para los equipos de ciberseguridad a la hora de identificar amenazas. Además, existe una falta de formación específica en seguridad digital respecto al uso de estas herramientas de mensajería, dado que la mayoría de los programas de capacitación se concentran en el phishing a través del correo electrónico.
Las conversaciones dentro de Microsoft Teams representan un área de riesgo creciente para incidentes de seguridad, atrayendo a delincuentes informáticos debido a su amplia base de usuarios.
En un incidente reciente destacado por AT&T Cybersecurity, se detectó un esquema de phishing dirigido a sus clientes de Managed Detection and Response (MDR) a través de Microsoft Teams, involucrando un ataque con el malware DarkGate.
Conoce más sobre: DarkGate se difunde vía Microsoft Teams en mensajes de RRHH
Identificación de Debilidades en las Herramientas Colaborativas
En un incidente reciente en Microsoft Teams, agresores explotaron la plataforma enviando más de mil invitaciones a conversaciones grupales. Al aceptar estas invitaciones, las víctimas fueron engañadas para descargar un archivo infectado con el malware DarkGate, un código malicioso que, aunque presente desde 2018 en ataques de ciberdelincuencia limitados, ha visto ampliado su espectro de acción a través de aplicaciones de mensajería.
El equipo de seguridad de AT&T, en su análisis, destacó cómo Microsoft configura automáticamente el acceso externo en Teams, permitiendo así que los usuarios internos incluyan a externos en los chats. Esta característica, junto con otras configuraciones inadecuadas identificadas en Teams, demuestra la vulnerabilidad de la plataforma ante diferentes tipos de ataques.
Incidentes similares han visto a ciberatacantes explotar estas configuraciones para alcanzar a usuarios internos, como es el caso del ataque Storm 0324 y la explotación de la vulnerabilidad GIFShell.
Una investigación realizada por Max Corbridge y Tom Ellson del equipo de Red Team de JUMPSEC descubrió una nueva brecha de seguridad que permitía a los atacantes sortear las limitaciones de intercambio de archivos, posibilitando el envío de malware directamente a las bandejas de entrada de Teams de los objetivos.
Es esencial comprender cómo estas vulnerabilidades asociadas a la configuración de acceso externo pueden comprometer la seguridad, para así diseñar estrategias de seguridad efectivas para aplicaciones de mensajería SaaS.
Para reforzar las defensas organizacionales frente a estos tipos de ataques y vulnerabilidades de phishing, te sugerimos la adopción de medidas preventivas específicas.
Auditoría del Acceso Externo
Considera si es realmente necesario que usuarios externos puedan enviar mensajes a miembros de tu organización. En caso de no ser imprescindible, procede a desactivar el acceso externo desde el Centro de Administración de Microsoft Teams. Ajusta la configuración para que tus usuarios solo puedan acceder a dominios externos específicos seleccionando la opción "Bloquear todos los dominios externos".
Para situaciones en las que la comunicación externa sea necesaria, permite el acceso únicamente a aquellos dominios de confianza que requieran interacción regular con tu equipo en Teams. Esto ayudará a mantener un balance adecuado entre la colaboración necesaria y la seguridad organizacional.
Conoce más sobre: Configuración de Teams: Colaboración Efectiva
Restringir Acceso de Usuarios Externos a Canales Compartidos
Los administradores de canales compartidos cuentan con la facultad de incorporar a usuarios externos a sus canales, otorgándoles capacidades para leer y enviar mensajes. Para prevenir esto, accede al Centro de Administración de Microsoft Teams y, dentro de la configuración de políticas de equipos, selecciona la opción para deshabilitar la función “Permitir invitaciones a usuarios externos a canales compartidos”.
Conoce más sobre: Gestión de Archivos en Microsoft Teams
Restricción de Inicio de Conversaciones por Externos
Impide que usuarios externos sin administración dentro de Teams puedan empezar diálogos dentro de tu entidad. En la sección de ajustes de acceso externo de Microsoft Teams, selecciona la opción para desactivar "Permitir que usuarios externos sin gestión organizativa contacten a usuarios de mi organización". Esta medida de control reduce significativamente las oportunidades de accesos y comunicaciones no consentidas.
Implementa Defender para Equipos
Organizaciones que emplean Microsoft Defender para Office 365 tienen la capacidad de habilitar la función de Archivos Adjuntos Seguros en las configuraciones generales. Esto previene la distribución accidental de archivos dañinos a través de OneDrive y SharePoint+OneDrive. Al activarse, la característica de Archivos Adjuntos Seguros impide que los usuarios abran o descarguen archivos clasificados como maliciosos.
Te podrá interesar: Configuración Defender M365: Guía Completa
Capacitación Continua para el Equipo
Es crucial sensibilizar al equipo sobre las estrategias de ingeniería social empleadas a través de herramientas de productividad como Microsoft Teams. Resalta la importancia de reconocer que los intentos de phishing no se limitan solo a los correos electrónicos y pueden presentarse de múltiples formas. Promueve una cultura de alerta en seguridad e impulsa programas de formación regular para que los colaboradores identifiquen y reporten comportamientos anómalos.
Conoce más sobre: Concientización: Esencial en la Ciberseguridad de tu Empresa
Conclusión: Adopta una Postura Proactiva
El entorno de amenazas cibernéticas está en constante cambio, lo que requiere de las organizaciones un enfoque proactivo para salvaguardar sus plataformas de comunicación SaaS. Al tomar conciencia de las recientes vulnerabilidades y técnicas de phishing, puede fortalecer sus barreras de seguridad.
Aplicar las estrategias de mitigación sugeridas ayudará a crear un ambiente más seguro en Microsoft Teams, protegiendo así a tu entidad y la integridad de tus datos sensibles frente a actores con malas intenciones.
Mantente al tanto de las novedades, se diligente y prioriza la seguridad en SaaS para asegurar la protección y durabilidad de sus recursos en la nube.