ENTEL Weekly Threat Intelligence Brief del 23 al 29 de enero de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• La filtración de datos de Zacks Investment Research afecta a 820.000 clientes
• Sitio de fuga de Hive Ransomware Tor aparentemente incautado por la policía
• Ransomware Vice Society  apunta a empresas manufactureras
• Los corredores de acceso al ransomware usan anuncios de Google para hackear su red
• Sandworm APT apunta a Ucrania con el nuevo wiper SwiftSlicer
• APT de Corea del Norte amplía su repertorio de ataques
• APT iraní filtra datos del gobierno de Arabia Saudita bajo una nueva persona
• El malware PlugX se esconde en dispositivos USB para infectar nuevos hosts de Windows
• RedGoBot malware explotó el error crítico Realtek SDK en millones de ataques
• Gootkit Malware continúa evolucionando con nuevos componentes y ofuscaciones
• Roaming Mantis propaga malware móvil que secuestra la configuración de DNS de los enrutadores Wi-Fi
• VMware soluciona 4 problemas para VMware vRealize Log Insight
• Jenkins publica su primer aviso de seguridad de 2023 con múltiples vulnerabilidades
• Ciberactores que explotan servidores Exchange sin parches se mantienen activos

La filtración de datos de Zacks Investment Research afecta a 820.000 clientes

La empresa que ayuda a los inversores a tomar decisiones de compra de acciones mediante el uso de algoritmos de análisis de datos financieros avanzados Zacks Investment Research (Zacks) fue víctima de ransomware en el año 2022 y obtuvieron acceso a información personal y confidencial perteneciente a alrededor de 820.000 clientes.

Una investigación interna sobre el incidente determinó que un actor de amenazas obtuvo acceso a la red en algún momento entre noviembre de 2021 y agosto de 2022. No está claro si se robaron datos, pero la información expuesta durante la violación incluye nombres completos, direcciones, números de teléfono, direcciones de correo electrónico y contraseñas de usuario para el sitio web Zacks.com.

Después de enterarse del ataque Zacks inició el procedimiento de restablecimiento de contraseña para las cuentas comprometidas, lo que obligó a los usuarios a elegir nuevas credenciales en su próximo inicio de sesión.

La compañía dice que también implementó medidas de seguridad adicionales en la red y está trabajando activamente con un especialista externo en ciberseguridad para desarrollar e instalar sistemas de protección adicionales.

Sitio de fuga de Hive Ransomware Tor aparentemente incautado por la policía

El sitio de fuga de Tor utilizado por los operadores de ransomware Hive ha sido incautado como parte de una operación internacional realizada por las fuerzas del orden en 10 países.

“Desde finales de julio de 2022, el FBI ha irrumpido en las redes informáticas de Hive, capturado sus claves de descifrado y las ha ofrecido a las víctimas en todo el mundo, evitando que las víctimas tengan que pagar los 130 millones de dólares del rescate exigido”, dijo el Departamento de Justicia .

De acuerdo con una solicitud de orden judicial, el FBI obtuvo acceso a dos servidores dedicados y un servidor privado virtual en un proveedor de alojamiento en California que se alquilaron utilizando direcciones de correo electrónico pertenecientes a miembros de Hive.

En una acción coordinada, la policía holandesa también obtuvo acceso a dos servidores dedicados de respaldo alojados en los Países Bajos.

Ransomware Vice Society apunta a empresas manufactureras

El grupo  de ransomware Vice Society  dio de qué hablar  a  fines de 2022  y principios de 2023 durante una serie de ataques contra varios objetivos, como el que afectó el sistema de tránsito rápido en San Francisco. La mayoría de los informes tienen al actor de amenazas centrando sus esfuerzos en la  educación  y la  atención médica, sin embargo, a través de los datos de telemetría de Trend Micro, se tiene evidencia de que el grupo también se dirige al sector manufacturero, lo que significa que tienen la capacidad y el deseo de irrumpir en diferentes industrias, lo que probablemente se logra a través de la compra de credenciales comprometidas de canales clandestinos. Se ha detectado la presencia de Vice Society en Brasil (que afecta principalmente a la industria manufacturera del país), Argentina, Suiza e Israel. 

Vice Society, que inicialmente se conoció por explotar la  vulnerabilidad PrintNightmare  en sus ataques, ha  implementado previamente variantes de ransomware  como Hello Kitty/Five Hands y Zeppelin (el correo electrónico del grupo ha estado en sus notas de rescate). Más recientemente, Vice Society ha podido desarrollar su propio  generador de ransomware personalizado  y adoptar métodos de encriptación más sólidos. Esto, y cualquier mejora adicional, podría significar que el grupo se está preparando para su propia operación de ransomware como servicio (RaaS).

Los corredores de acceso al ransomware usan anuncios de Google para hackear su red

Un actor de amenazas rastreado como DEV-0569 usa Google Ads en campañas publicitarias continuas y generalizadas para distribuir malware, robar las contraseñas de las víctimas y, en última instancia, violar las redes para ataques de ransomware.

Estos anuncios pretenden ser sitios web de programas de software populares, como LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR y VLC.  Al hacer clic en los anuncios, los visitantes acceden a sitios que aparecen como portales de descarga o réplicas de los sitios legítimos del software.

Si un usuario instalará el software que se ofrece en estas páginas, ejecutaría un nuevo descargador de malware llamado BatLoader, que inicia un proceso de infección de varias etapas que, en última instancia, brinda a los atacantes acceso inicial a las redes de las víctimas.

Luego, Microsoft informó que los actores de amenazas detrás de BatLoader, rastreados como DEV-0569, habían comenzado a usar anuncios de Google para promocionar sus sitios maliciosos. Peor aún, Microsoft dijo que estas infecciones finalmente condujeron al despliegue de  Royal Ransomware  en redes hackeadas.

Sandworm APT apunta a Ucrania con el nuevo wiper SwiftSlicer

El grupo Sandworm APT vinculado a Rusia está detrás de un nuevo wiper basado en Golang, rastreado como SwiftSlicer, que afectó a Ucrania.

El grupo Sandworm ha estado activo desde 2000, opera bajo el control de la  Unit 74455  del Centro Principal de Tecnologías Especiales (GTsST) del GRU ruso. El grupo también es el autor del  ransomware NotPetya  que afectó a cientos de empresas en todo el mundo en junio de 2017.

Una vez ejecutado, el wiper elimina instantáneas y sobrescribe archivos de forma recursiva. El wiper apunta a los archivos ubicados en %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS y otras unidades que no son del sistema antes de reiniciar el sistema infectado. El wiper SwiftSlicer sobrescribe archivos con bloques de 4096 bytes de longitud con bytes generados aleatoriamente.

APT de Corea del Norte amplía su repertorio de ataques

El grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado de Corea del Norte TA444 se ha involucrado en una campaña de recolección de credenciales dirigida a los EE. UU. y Canadá con correos electrónicos de phishing de OneDrive a partir de diciembre del 2022 según SecurityWeek.

Los correos electrónicos de phishing enviados por TA444 atraen a los destinatarios para que hagan clic en una URL de SendGrid que los redirige a una página de recopilación de credenciales utilizando el servicio de representación del logotipo de ClearBit, según un informe de Proofpoint. 

Tal cambio en las tácticas de ataque para TA444, que originalmente apuntó a las criptomonedas en 2017 antes de aumentar el uso de macros para la entrega de malware el año pasado, puede representar el libro de jugadas de ataque en expansión del grupo, un trabajo secundario destinado a evadir las sanciones de Corea del Norte o un compromiso de infraestructura por otra amenaza. actor, señaló el informe. Los investigadores de Proofpoint descubrieron que la campaña de phishing de diciembre produjo casi el doble de los volúmenes de correo electrónico de TA444 durante todo 2022. Además, la campaña se ha atribuido a TA444 en función de la exclusividad de la infraestructura del atacante. 

APT iraní filtra datos del gobierno de Arabia Saudita bajo una nueva persona

El actor de amenazas persistentes avanzadas (APT) vinculado a Irán conocido como Moses Staff está filtrando datos robados de los ministerios del gobierno de Arabia Saudita utilizando una persona en línea creada recientemente.

Moses Staff (A.K.A Cobalt Sapling), probablemente haya estado activo desde noviembre de 2020, pero su existencia no se reveló hasta septiembre de 2021.

Un grupo declarado anti-israelí y pro-palestino, ha publicado en su sitio web de filtraciones 16 actividades a partir de diciembre de 2022, que consisten principalmente en datos robados de empresas israelíes, o información personal de personas afiliadas a una unidad de inteligencia israelí de Israel. 

El malware PlugX se esconde en dispositivos USB para infectar nuevos hosts de Windows

Los investigadores de seguridad han analizado una variante del malware PlugX que puede ocultar archivos maliciosos en dispositivos USB extraíbles y luego infectar los hosts de Windows a los que se conectan.

El malware utiliza lo que los investigadores llaman "una técnica novedosa" que le permite pasar desapercibido durante períodos más largos y podría propagarse potencialmente a sistemas con air-gapped.

El equipo de Unit42 de Palo Alto Network encontró una muestra de esta variante de PlugX durante una respuesta a un ataque de ransomware Black Basta que se basó en GootLoader y el kit de herramientas de post-explotación Brute Ratel  para los compromisos del Red Team.

Los investigadores explican que la versión de PlugX que encontraron utiliza un carácter Unicode para crear un nuevo directorio en las unidades USB detectadas, lo que las hace invisibles en el Explorador de Windows y en el shell de comandos. Estos directorios son visibles en Linux pero ocultos en los sistemas Windows.

“Para lograr la ejecución del código del malware desde el directorio oculto, se crea un archivo de acceso directo de Windows (.lnk) en la carpeta raíz del dispositivo USB”, dice Unit 42.

RedGoBot malware explotó el error crítico Realtek SDK en millones de ataques

Los actores detrás del malware aprovecharon una vulnerabilidad crítica de ejecución remota de código en Realtek Jungle SDK e intentaron infectar dispositivos inteligentes en la segunda mitad de 2022.

Explotada por múltiples actores de amenazas, la vulnerabilidad se rastrea como CVE-2021-35394 y tiene una puntuación de gravedad de 9,8 sobre 10.

La mayoría de estos ataques se originan en familias de malware de botnet como Mirai, Gafgyt, Mozi y sus derivados. En abril de 2022, se detectó la  botnet Fodcha  explotando CVE-2021-35394 para operaciones distribuidas de denegación de servicio (DDoS).

RedGoBot también usó la vulnerabilidad con fines DDoS en ataques en septiembre. La botnet puede realizar ataques DDoS en los protocolos HTTP, ICMP, TCP, UDP, VSE y OpenVPN y admite una variedad de métodos de inundación.

Gootkit Malware continúa evolucionando con nuevos componentes y ofuscaciones

Los actores de amenazas asociados con el malware Gootkit han realizado "cambios notables" en su conjunto de herramientas, agregando nuevos componentes y ofuscaciones a sus cadenas de infección.

Mandiant, propiedad de Google, está monitoreando el grupo de actividad bajo el nombre de UNC2565, señalando que el uso del malware es "exclusivo para este grupo".

Gootkit (A.K.A Gootloader), se propaga a través de sitios web comprometidos que engañaN a las víctimas para que visiten cuando buscan documentos relacionados con el negocio, como acuerdos y contratos, a través de una técnica llamada envenenamiento de optimización de motores de búsqueda (SEO).

Los supuestos documentos adoptan la forma de archivos ZIP que albergan el malware JavaScript que, cuando se inicia, allana el camino para cargas útiles adicionales como Cobalt Strike Beacon , FONELAUNCH y SNOWCONE.

La nueva variante, que fue detectada por la firma de inteligencia de amenazas en noviembre de 2022, se rastrea como GOOTLOADER.POWERSHELL. Vale la pena señalar que la cadena de infección renovada también fue documentada por Trend Micro, detallando los ataques de Gootkit dirigidos al sector de la salud australiano.

Roaming Mantis propaga malware móvil que secuestra la configuración de DNS de los enrutadores Wi-Fi

Se ha observado a los actores de amenazas asociados con la campaña de ataque Roaming Mantis entregando una variante actualizada de su malware móvil conocido como Wroba para infiltrarse en los routers Wi-Fi y llevar a cabo el secuestro del Sistema de Nombres de Dominio ( DNS ).

Kaspersky, que llevó a cabo un análisis del artefacto malicioso, dijo que la función está diseñada para apuntar a routers Wi-Fi específicos ubicados en Corea del Sur.

Roaming Mantis (A.K.A Shaoye), es una operación de motivación financiera de larga duración que selecciona a los usuarios de teléfonos inteligentes Android con malware capaz de robar credenciales de cuentas bancarias y recopilar otros tipos de información confidencial.

Los ataques aprovechan los mensajes de smishing como el vector de intrusión inicial de elección para entregar una URL trampa que ofrece un APK malicioso o redirige a la víctima a páginas de phishing basadas en el sistema operativo instalado en los dispositivos móviles.

VMware soluciona 4 problemas para VMware vRealize Log Insight

VMware ha publicado un nuevo aviso de seguridad que contempla 4 vulnerabilidades, 2 de ellas son de severidad crítica, 1 de severidad Alta y 1 de severidad Media. Estas fallas afectan a VMware vRealize Log Insight.

CVE-2022-31706 [CVSSv3: 9.8]
Vulnerabilidad transversal de directorio de VMware vRealize Log Insight 

vRealize Log Insight contiene una vulnerabilidad de cruce de directorios. Un actor malicioso no autenticado puede inyectar archivos en el sistema operativo de un dispositivo afectado, lo que puede resultar en la ejecución remota de código.

CVE-2022-31704 [CVSSv3: 9.8]
Vulnerabilidad de control de acceso roto de VMware vRealize Log Insight 

Un actor malicioso no autenticado puede inyectar archivos en el sistema operativo de un dispositivo afectado, lo que puede resultar en la ejecución remota de código. Esto dado que vRealize Log Insight contiene una vulnerabilidad de control de acceso rota. 

Jenkins publica su primer aviso de seguridad de 2023 con múltiples vulnerabilidades

El servidor Jenkins, publicó un aviso de seguridad que contiene 38 vulnerabilidades que se clasifican en 8 de severidad Alta , 26 de severidad Media y 4 de severidad Baja.

CVE-2023-24422 [CVSSv3: 8.8]
Vulnerabilidad de omisión de sandbox en el complemento de seguridad de script

El complemento de seguridad de secuencias de comandos proporciona una función de espacio aislado que permite a los usuarios con pocos privilegios definir secuencias de comandos, incluidas las Pipelines, que generalmente son seguras de ejecutar. Las llamadas al código definido dentro de un script de espacio aislado se interceptan y se verifican varias listas de permitidos para determinar si se debe permitir la llamada.

Esta vulnerabilidad permite a los atacantes con permiso para definir y ejecutar scripts de espacio aislado, incluidos Pipelines, para eludir la protección del espacio aislado y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.

CVE-2023-24426  [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en el complemento de Azure AD

El complemento de autenticación OpenId Connect 2.4 y versiones anteriores no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.

CVE-2023-24426  [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en Custom Build Properties Plugin

El complemento de Azure AD 303.va_91ef20ee49f y versiones anteriores no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.

CVE-2023-24427 [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en Bitbucket OAuth Plugin

Bitbucket OAuth Plugin 0.12 y anteriores no invalidan la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.

CVE-2023-24427 [CVSSv3: 7.1]
Agent-to-controller security bypass in Semantic Versioning Plugin

Semantic Versioning Plugin define un mensaje de controller/agent que procesa un archivo determinado como XML y su analizador XML no está configurado para evitar ataques de entidad externa XML (XXE).

• Nota: Esta vulnerabilidad solo se puede explotar en Jenkins 2.318 y versiones anteriores, LTS 2.303.2 y versiones anteriores. Consulte la guía de actualización de LTS .

CVE-2023-24456 [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en el complemento de autenticación Keycloak

El complemento de autenticación Keycloak 2.3.0 y versiones anteriores no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.

CVE-2023-24443 [CVSSv3: 7.1]
Vulnerabilidad XXE en el complemento de soporte TestComplete

TestComplete support Plugin 2.8.1 y versiones anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite a los atacantes controlar el archivo de entrada del archivo zip para el paso de compilación 'TestComplete Test' para que Jenkins analice un archivo manipulado que usa entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2023-24444 [CVSSv3: 8.8]
Vulnerabilidad de corrección de sesión en OpenID Plugin

OpenID Plugin 2.4 y versiones anteriores no invalidan la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.
 

Ciberactores que explotan servidores Exchange sin parches se mantienen activos

En marzo del 2021, se dió a conocer la primera explotación por un conjunto de vulnerabilidades a Microsoft Exchange, y desde ese momento ha sido víctima de múltiples ataques y explotaciones por todo el mundo.  Comenzó con ProxyLogon, luego ProxyOracle, seguido de ProxyShell, ProxyToken y el último conocido ProxyNotShell.

¡Microsoft hace un nuevo llamado!

“Lo dijimos antes, lo decimos ahora y lo seguiremos diciendo: es fundamental mantener actualizados los servidores de Exchange . Esto significa instalar la actualización acumulativa (CU) y la actualización de seguridad (SU) más recientes disponibles en todos sus servidores de Exchange (y en algunos casos, en las estaciones de trabajo de las herramientas de administración de Exchange) y ocasionalmente realizar tareas manuales para fortalecer el entorno, como habilitar la protección extendida y habilitar la firma de certificados de las cargas útiles de serialización de PowerShell .”

La actualización de seguridad de enero 2023 contempla correcciones para vulnerabilidades encontradas en:

• Exchange Server 2013
• Exchange Server 2016
• Exchange Server 2019

Nota: Los SU están disponibles en un paquete [.]exe autoextraíble y de elevación automática, así como en los paquetes de actualización originales (archivos [.]msp), que se pueden descargar del Catálogo de actualizaciones de Microsoft.

Los SU están disponibles para las siguientes versiones específicas de Exchange Server:

• Exchange Server 2013 CU23 (tenga en cuenta que el soporte y las actualizaciones finalizan el 11 de abril de 2023)
• Servidor de intercambio 2016 CU23
• Exchange Server 2019 CU11 y CU12

Importante: Las CU y las SU de Exchange Server son acumulativas, por lo que solo necesita instalar la última versión disponible.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 30 de enero al 05 de Febrero de 2023:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Servicios legales y profesionales
• Educación
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Retail y servicios de consumo
• Organizaciones sin fines de lucro
• Gobierno
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Petróleo
• Turismo, hoteles y restaurantes
• Transportes y servicios automotrices

• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Servicios empresariales y comercio
• Educación

• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Servicios de salud, sociales y farmacia

• Banca y Finanzas
• Transportes y servicios automotrices.
• Shipment y cadena de suministros
• Petróleo
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes

• Defensa y orden público
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC 's en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de mal spam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.