El ataque a Investec: qué deben hacer las empresas ahora

Resumen del ataque a Investec:

La inteligencia artificial ha hecho que los sofisticados ataques de suplantación de identidad sean baratos, escalables y cada vez más habituales.
Estos ataques se aprovechan de la credibilidad de tu marca, no de una vulnerabilidad en tus sistemas.
Una DMARC de p=reject impide que los correos electrónicos no autenticados lleguen a los clientes.
Los dominios similares eluden DMARC; la supervisión continua es un control independiente y necesario.
La suplantación de identidad sofisticada es un problema de la organización. No del cliente.

Un sofisticado ataque en varias fases está afectando activamente a los clientes de Investec. Se está sustrayendo dinero de las cuentas en tiempo real. El ataque a Investec se aprovecha de la confianza que los clientes del banco depositan en las comunicaciones que reciben.

En este artículo se explica con detalle cómo funciona el ataque a Investec, por qué es tan eficaz y qué medidas deben tomar tanto las empresas como los particulares al respecto.

Este tipo de ataques se dirigen contra marcas conocidas y contra los clientes que confían en ellas. Proteja la suya.

Cómo funciona el ataque a Investec

La estrategia de Investec se desarrolla en tres fases, cada una de ellas diseñada para aprovechar la credibilidad ganada en la anterior.

Etapa 1: El mensaje desencadenante

La víctima recibe un SMS o un correo electrónico que parece una notificación de pago correspondiente a una transacción de gran cuantía que no reconoce. En el mensaje se incluye un número de contacto fraudulento. El correo electrónico, en particular, resulta muy convincente a simple vista.

Fase 2: El falso centro de atención telefónica

Preocupado, el cliente llama al número. Le atiende un sistema de respuesta de voz interactiva (IVR) que reproduce exactamente el sistema de Investec. A continuación, un agente del centro de atención al cliente le indica que es necesario restablecer su acceso al portal bancario. A continuación, recibe un mensaje de WhatsApp con un enlace para completar el proceso.

Fase 3: Robo de credenciales

El enlace lleva a una réplica muy convincente de la página de inicio de sesión de Investec. No es la página auténtica. Las credenciales introducidas en esta página llegan directamente al atacante, quien las utiliza para acceder al portal auténtico y transferir fondos a cuentas que controla.

Por qué funciona la estrategia de Investec

El ataque de Investec no es una estafa de poca monta. El nivel de detalle es deliberado y considerable. El correo electrónico parece legítimo. El sistema de respuesta de voz interactiva (IVR) es una réplica funcional. La phishing es indistinguible de la auténtica.

Los atacantes siempre han recurrido a la urgencia y al miedo para anular el comportamiento racional. Esa dinámica no ha cambiado. Lo que sí ha cambiado es la calidad de la ejecución. La inteligencia artificial reduce el costo las barreras técnicas para crear réplicas convincentes de páginas web, de voces e incluso de centros de atención telefónica completos. Los ataques que antes requerían recursos considerables ahora pueden llevarse a cabo a gran escala con una mínima parte del esfuerzo.

La lógica económica es clara: altos beneficios, menor riesgo que la delincuencia tradicional y pocas barreras técnicas.

Qué supone el ataque a Investec para las empresas

En este caso, el objetivo es Investec. Mañana podría ser cualquier empresa de servicios financieros, aseguradora, empresa de telecomunicaciones o marca empresarial con una comunicación reconocible.

La defensa se articula en varios niveles, pero parte siempre del mismo punto:

DMARC impide la suplantación de identidad desde tu dominio. Si tu organización aplica una p=reject , un correo electrónico no autenticado que afirme proceder de su dominio sería bloqueado antes de llegar a los clientes. DMARC cubre todos los vectores de ataque, pero elimina uno muy importante. El correo electrónico no autenticado nunca debería llegar a una bandeja de entrada.

Lookalike Domain Defense detecta lo que DMARC . Los atacantes registran dominios que se asemejan a marcas de confianza —con ligeras variaciones ortográficas, palabras añadidas o dominios de nivel superior diferentes— con el objetivo específico de eludir los controles básicos. Identificar y supervisar esos dominios antes de que se utilicen en un ataque es una defensa proactiva. Lookalike Domain Defense de Sendmarc supervisa Lookalike Domain Defense los dominios diseñados para suplantar a su marca.

La visibilidad unificada elimina los puntos ciegos. Los equipos de seguridad y de TI no pueden proteger lo que no ven. Es fundamental contar con una visibilidad unificada de todas DMARC SPF, DKIM y DMARC , en todas las herramientas de envío, departamentos y regiones. Los remitentes no autorizados o mal configurados crean brechas que los atacantes no tardan en aprovechar.

La supervisión continua evita que las políticas se desvíen de lo previsto. La autenticación del correo electrónico no es una configuración que se establece una vez y ya está. Los dominios cambian. Se añaden nuevas herramientas. Las políticas se desvían. Los equipos de seguridad, con una carga de trabajo cada vez mayor, no pueden llevar un control manual de todo ello. Mantener mejoras continuas sin aumentar la carga de trabajo interna es lo que distingue a las empresas que se mantienen protegidas de aquellas que, con el tiempo, acaban creando brechas de seguridad.

Qué hacer si eres cliente

No hace falta ser un experto en seguridad para protegerse. Con cuatro medidas sencillas se cubre la mayor parte del riesgo.

No te fíes del número que aparece en el mensaje. Si recibes una alerta de fraude inesperada, busca por tu cuenta el número de contacto del banco. Entra directamente en su página web. No llames al número que aparece en el mensaje.
Comprueba el dominio del remitente. Fíjate en la dirección de correo electrónico completa, sobre todo en la parte que viene después de la @. Si no coincide exactamente con el dominio oficial del banco, lo más probable es que no sea un mensaje suyo.
Añade tu banca online a los favoritos. No hagas clic en enlaces a tu banco que aparezcan en correos electrónicos o mensajes. Utiliza la URL que hayas guardado tú mismo en los favoritos. Si recibes un enlace de inicio de sesión de cualquier persona, no lo utilices.
Tómate tu tiempo. La rapidez es una de las características de este ataque. Dedicar 30 segundos a verificar un número o comprobar un dominio podría evitar que pierdas tus ahorros.

Investec ha publicado sus propias recomendaciones sobre este ataque, que puedes consultar en su página web.

El papel de Sendmarc

El ataque a Investec sigue un patrón que se está convirtiendo en habitual. Los elementos técnicos —suplantación de dominios, páginas falsificadas, clonación de voz para sistemas IVR— son cada vez más accesibles. El factor humano —el miedo, la confianza, la urgencia— siempre ha estado presente.

Las empresas que deseen proteger a sus clientes y la reputación de su marca deben subsanar las deficiencias técnicas antes de que los atacantes se aprovechen de ellas. Esto implica aplicar DMARC, vigilar los dominios falsos, mantener la visibilidad en toda la infraestructura de envío de correo electrónico y garantizar que esos controles se mantengan actualizados a medida que cambian los entornos.

Todo el ataque se viene abajo si un cliente comprueba el dominio o verifica el número por su cuenta. Pero las organizaciones no pueden confiar en que los clientes detecten algo para lo que nunca han recibido formación. Esa responsabilidad recae en las empresas que envían las comunicaciones.

Haz que sea lo más difícil posible suplantar tu identidad.

Sendmarc ayuda a las empresas implementar aplicar DMARC, SPF y DKIM gran escala, a supervisar los dominios similares y a mantener un control continuo sobre su estado de autenticación del correo electrónico. Si su organización aún no ha aplicado políticas de autenticación del correo electrónico, ahora es el momento adecuado.