Las direcciones de correo electrónico continúan como el identificador digital universal, siendo más consistentes y fáciles de validar. Conectan a los usuarios humanos con los sistemas, vinculan la autenticación entre servicios y, en la actualidad, anclan los flujos de trabajo de los agentes inteligentes. Según afirman desde la empresa de ciberseguridad y cumplimiento normativo Proofpoint, esta dependencia del correo electrónico como identidad de facto hace que continúe siendo el vector de ataque más valioso para los ciberdelincuentes para obtener credenciales y acceder a sistemas y datos.
La mayoría de las aplicaciones web utiliza las direcciones de correo electrónico como el identificador principal para funciones críticas, como la creación de nuevas cuentas y la recuperación de contraseñas. Además, el correo electrónico cuenta con la ventaja de ayudar a los usuarios a diferenciar entre sus identidades corporativas y personales.
“Existen, obviamente, otros métodos, como los nombres de usuario y los números de identificación de cliente, pero el inconveniente es que puede ser un desafío para los usuarios mantener y recordar identificadores diferentes”, apuntan los investigadores de Proofpoint.
Las credenciales comprometidas suelen derivar en identidades comprometidas. Las capas adicionales de seguridad y la autenticación multifactor han elevado, no obstante, el estándar para proteger las identidades. La gestión de acceso a la identidad (IAM) y la gestión de acceso privilegiado (PAM) añaden, por ejemplo, más controles sobre a qué información puede acceder una identidad, aunque no evitan que esta se vea comprometida. Mientras tanto, la detección y respuesta a amenazas de identidad (ITDR) puede detectar cuándo las credenciales han sido comprometidas y tomar medidas para mitigar ese compromiso.
Todos estos componentes y controles deberían formar parte de una estrategia de seguridad integral. Los atacantes acaban por adaptarse a ellos y van sacando métodos nuevos e innovadores para eludirlos, como ataques de intermediario para robar tokens de autenticación o bombardeo de solicitudes para autorizar un inicio de sesión.
El robo de credenciales, punto de partida de aproximadamente un tercio de las brechas relacionadas con el factor humano, no es algo nuevo, pero la evolución de estos ataques por correo electrónico ha sido drástica. Se ha pasado de los primeros casos de phishing más genéricos a las campañas dirigidas de spearphishing o las altamente personalizadas de whaling con datos investigados sobre los objetivos para maximizar su éxito, o al uso de deepfakes de voz y vídeo que añaden una nueva capa de engaño.
La introducción de la IA agéntica, que puede tomar decisiones y realizar acciones de forma automática, como leer, interpretar o enviar emails, ha aumentado asimismo la superficie de ataque. Al igual que a los humanos, estos sistemas pueden ser víctimas de ataques de ingeniería de prompts, almacenar y revelar datos confidenciales, o descargar y ejecutar código malicioso. En Proofpoint ya han visto ataques de correo electrónico que incrustan instrucciones de IA como texto oculto para intentar robar datos, así como herramientas de IA agéntica que monitorizan una dirección de correo para procesar documentos automáticamente, como órdenes de compra o gestión de pagos.
La seguridad ya no se ciñe solo a la protección del correo electrónico, sino a la protección también de la persona que está detrás de la bandeja de entrada. Proofpoint aborda esa transición hacia una seguridad centrada en las personas y los agentes de IA, incluyendo el espacio de trabajo agéntico. Esto significa detectar y prevenir las inyecciones de prompt de IA entrantes, monitorizar y bloquear la filtración de datos maliciosa o accidental.
“Las organizaciones deben cambiar hacia una arquitectura de seguridad integral centrada en las personas y en los agentes, dada la evolución de las amenazas desde el phishing de credenciales hasta la manipulación de instrucciones de IA. Si se protege el correo electrónico, también debe protegerse a los humanos y a los sistemas de IA que actúan en su nombre”, concluyen los expertos de Proofpoint.
