Los atacantes abusan de Amazon SES para enviar correos electrónicos de phishing autenticados que eluden la seguridad

Los actores de amenazas recurren cada vez más a la propia infraestructura de correo electrónico en la nube de Amazon para entregar mensajes de phishing que parecen completamente genuinos, pasando todos los controles de seguridad estándar en el camino. Los atacantes crean correos electrónicos diseñados para que parezcan reales, con la esperanza de que los destinatarios confíen en lo que ven y entreguen sus credenciales o su dinero.

El último objetivo de esta estrategia es Amazon Simple Email Service, ampliamente conocido como Amazon SES, una plataforma basada en la nube utilizada por empresas de todo el mundo para enviar correos electrónicos transaccionales y de marketing de manera confiable. Los correos electrónicos enviados a través de este servicio llevan encabezados de autenticación SPF, DKIM y DMARC válidos, lo que significa que pasan todas las comprobaciones técnicas que ejecutan la mayoría de los sistemas de seguridad de correo electrónico. Al enrutar los correos electrónicos de phishing a través de una infraestructura confiable, los actores de amenazas eluden efectivamente las listas de bloqueo basadas en la reputación. Bloquear la dirección IP del remitente tampoco es una solución viable, porque hacerlo cortaría todos los correos electrónicos legítimos enviados a través de Amazon SES para cualquier organización, generando un volumen inmanejable de falsos positivos.

Encabezados de correos electrónicos de phishing que confirman el origen de Amazon SES (Fuente: Securelist) El señuelo más común observado a principios de 2026 involucró notificaciones falsas de servicios de firma electrónica, como correos electrónicos que se hacen pasar por Docusign. La publicación Los atacantes abusan de Amazon SES para enviar correos electrónicos de phishing autenticados que eluden la seguridad apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗