Los hackers informáticos norcoreanos han encontrado una nueva forma de llevar a cabo ataques de suplantación de identidad (phishing) más convincentes: explotar las políticas débiles de autenticación de correo electrónico.
Según una alerta conjunta emitida por la Agencia de Seguridad Nacional (NSA), el FBI y el Departamento de Estado de EE. UU., el grupo de hackersconocido como APT43 (también conocido como Kimsuky, Black Banshee, Emerald Sleet y Velvet Chollima) está aprovechando las políticas mal configuradas de Domain-based Message Authentication, Reporting and Conformance (DMARC) para enviar correos electrónicos suplantados que parecen provenir de fuentes legítimas y de confianza.
La amenaza de los hackers norcoreanos
El grupo APT43, que está vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte, ha estado llevando a cabo campañas de suplantación de identidad dirigidas desde al menos 2012. Su objetivo es obtener información de inteligencia sobre eventos geopolíticos, estrategias de política exterior de adversarios y cualquier otra información que pueda afectar a los intereses de Corea del Norte. Para lograr esto, los hackers se hacen pasar por periodistas, académicos y otros expertos en asuntos de Asia Oriental para ganar acceso no autorizado a los documentos privados, la investigación y las comunicaciones de sus objetivos.
Cómo funcionan los ataques de suplantación de identidad
Los hackers de APT43 explotan las políticas DMARC mal configuradas para enviar correos electrónicos suplantados que parecen provenir de dominios legítimos. Esto les permite evadir los controles de seguridad y garantizar la entrega de sus mensajes de phishing, incluso si esos controles fallan. Además, utilizan direcciones de correo electrónico gratuitas que imitan al mismo remitente en el campo "Responder a" para convencer aún más a los destinatarios de que están interactuando con personal legítimo.
El papel de DMARC en la protección contra el phishing
DMARC es un estándar que tiene como objetivo ayudar a las organizaciones a protegerse contra el uso no autorizado de sus dominios de correo electrónico. Al configurar correctamente las políticas DMARC, las empresas pueden instruir a los servidores de correo electrónico para que traten los mensajes que no superen las comprobaciones DMARC como sospechosos o spam (es decir, que los pongan en cuarentena o los bloqueen).
Recomendaciones de mitigación
Para contrarrestar esta amenaza, la NSA, el FBI y el Departamento de Estado de EE. UU. recomiendan que las organizaciones actualicen sus políticas DMARC a "v=DMARC1; p=quarantine;" o "v=DMARC1; p=reject;". Esto indicará a los servidores de correo electrónico que deben poner en cuarentena o bloquear los correos electrónicos que no superen las comprobaciones DMARC. Además, se recomienda a las organizaciones que configuren otros campos de la política DMARC, como "rua", para recibir informes agregados sobre los resultados de DMARC para los mensajes de correo electrónico que supuestamente provienen del dominio de la organización.
El impacto de los ataques de suplantación de identidad
Los ataques de suplantación de identidad de APT43 han demostrado ser una amenaza grave para las organizaciones que manejan información sensible, como centros de investigación, instituciones académicas y medios de comunicación. Al hacerse pasar por fuentes de confianza, los hackers norcoreanos pueden obtener acceso a documentos privados, investigaciones y comunicaciones que les permiten recopilar inteligencia valiosa para el régimen de Pyongyang.
Cómo detectar y responder a los ataques de suplantación de identidad
Para detectar y mitigar los ataques de suplantación de identidad de APT43, se recomienda a los individuos y organizaciones que estén atentos a los siguientes indicadores:
Correos electrónicos que parecen provenir de periodistas, académicos u otros expertos, pero que contienen errores gramaticales o de ortografía
Mensajes que solicitan compartir información confidencial o sensible
Solicitudes de responder a una cuenta de correo electrónico diferente a la original
Archivos adjuntos o enlaces sospechosos
Comunicaciones que parecen provenir de fuentes oficiales pero que se envían desde servicios de correo electrónico no oficiales
Si se detecta un ataque de suplantación de identidad, se debe informar inmediatamente a las autoridades correspondientes y tomar medidas para proteger la información y los sistemas afectados.
El papel de la inteligencia de amenazas en la defensa contra el phishing
La inteligencia de amenazas desempeña un papel crucial en la lucha contra los ataques de suplantación de identidad de APT43 y otros grupos de hackers informáticos patrocinados por el estado. Al monitorear las tácticas, técnicas y procedimientos utilizados por estos actores, las organizaciones pueden anticipar y prepararse mejor para hacer frente a futuras campañas de phishing. Además, compartir información sobre amenazas emergentes y mejores prácticas de mitigación entre la comunidad de seguridad cibernética puede ayudar a fortalecer la defensa colectiva contra estos ataques.
El impacto a largo plazo de los ataques de suplantación de identidad
Los ataques de suplantación de identidad de APT43 no solo tienen un impacto inmediato en la confidencialidad y la integridad de la información sensible, sino que también pueden tener consecuencias a largo plazo. Al comprometer a expertos en políticas y analistas, los hackers informáticos norcoreanos pueden obtener información valiosa que les permita refinar aún más sus técnicas de suplantación de identidad y dirigirse a objetivos de mayor valor en el futuro.
El papel de la cooperación internacional en la lucha contra las amenazas norcoreanas
Dado que los ataques de suplantación de identidad de APT43 tienen un alcance global, la cooperación internacional es fundamental para combatir eficazmente esta amenaza. Las agencias gubernamentales, las empresas de seguridad cibernética y la comunidad de expertos deben compartir información, coordinar esfuerzos de mitigación y trabajar en conjunto para desenmascarar y desmantelar las operaciones de inteligencia norcoreanas.
El futuro de la defensa contra el phishing patrocinado por el estado
A medida que los grupos de hackers informáticos patrocinados por el estado, como APT43, perfeccionan sus tácticas de suplantación de identidad, las organizaciones y los individuos deben estar preparados para hacer frente a amenazas cada vez más sofisticadas. Esto requerirá la implementación de soluciones de seguridad avanzadas, la mejora continua de las políticas y procedimientos, y una mayor concienciación y formación del personal. Además, la innovación en áreas como la autenticación sin contraseña y la inteligencia artificial puede desempeñar un papel clave en la lucha contra este tipo de ataques patrocinados por el estado en el futuro.
Los hackers informáticos norcoreanos del grupo APT43 han demostrado ser una amenaza persistente y cada vez más sofisticada, explotando las políticas DMARC débiles para llevar a cabo ataques de suplantación de identidad convincentes. Para mitigar este riesgo, las organizaciones deben fortalecer sus políticas DMARC, implementar soluciones de seguridad avanzadas y colaborar a nivel internacional para compartir inteligencia y mejores prácticas. Solo a través de un enfoque integral y coordinado podremos hacer frente eficazmente a esta amenaza creciente.