Las nuevas formas del phishing (y cómo afinar nuestra capacidad de detección)
- Actualidad
El phishing siempre ha sido efectivo, sin necesidad de ser especialmente sofisticado. En el último año se ha vuelto incluso más eficaz, con mensajes menos burdos y una mayor capacidad para convencer suplantando identidades legítimas. ¿Cuál es el estado actual del phishing y cómo podemos mejorar nuestro ojo clínico para detectarlo?
El phishing como vector de ataque es una constante en permanente crecimiento. Pese a las iniciativas de prevención y concienciación ante fechas como el pasado Black Friday o las próximas festividades navideñas, pese a las veces que los usuarios han caído ya en los cebos tradicionales, la evolución de estos ataques y la psicología humana permiten que el phishing siga siendo una de las principales armas de los cibercriminales.
Así lo explica Chester Wisniewski, director Field CTO en Sophos, “el phishing es el método más común para obtener acceso inicial a entornos informáticos sensibles. No va a desaparecer, porque en gran medida ataca al ser humano, más que a la tecnología. Mientras nuestros ordenadores sigan mejorando su seguridad, el ser humano seguirá siendo el punto de ataque más fácil”.
Los equipos de ciberseguridad intentan reducir la probabilidad de que entre el phishing, de que se caiga en el cebo, de que sean operativas las credenciales robadas... Al mismo tiempo que trabajan en los planes de ciberresiliencia. |
Es una pieza pequeña pero imprescindible en la cadena de valor (digámoslo así, para entendernos) de un ciberataque casi siempre hay un ataque de phishing que ha tenido éxito. Y, probablemente, siempre lo será: por más robusta que sea la tecnología que se implemente, una ingeniería social bien elaborada puede saltarse todas las barreras porque convence al usuario para que lo haga. Las cifras lo corroboran.
Sergio Martínez, Iberia regional manager de SonicWall, señala que, según su Informe de Ciberamenazas, “más del 90% de los ciberataques comienzan con una campaña de phishing exitosa, a menudo iniciada mediante malware. Aproximadamente el 66% del malware instalado en un equipo proviene de un archivo adjunto malicioso en un correo electrónico. En 2023, los sistemas de SonicWall registraron más de 3.4 millones de ataques de phishing bloqueados diariamente, mostrando un aumento significativo en comparación con años anteriores. Este crecimiento refleja la profesionalización de los ciberdelincuentes y su capacidad para aprovechar tecnologías avanzadas como la IA generativa”.
La importante evolución del phishing
En todo caso, el phishing también ha evolucionado a medida que lo ha hecho la tecnología o que ha aumentado la capacidad de detección del usuario medio. Pablo Valenzuela, solutions architect de Netskope, detalla que “en la última década hemos pasado de ataques BEC a infecciones de ransomware, pasando por Phishing-as-a-Service. En la actualidad, hay ataques principalmente de dos tipos: los de Browser-in-the-middle para robar sesiones y credenciales de sitios objetivo (como servicios de email) y los ataques rápidos generados por IA utilizando dominios y contenidos de eventos actuales como elecciones, catástrofes, renovaciones e impuestos, etc”.
“Sin los mecanismos de protección adecuados, los ataques exitosos de phishing pueden causar daños significativos a individuos y organizaciones”
Bogdan Botezatu, Bitdefender
Pedro Viana, head of presales de Kaspersky Iberia, explica en que “el uso de Inteligencia Artificial ha potenciado esta evolución, permitiendo la creación de mensajes más convincentes y adaptados a cada víctima. Las webs y correos fraudulentos imitan a la perfección a las plataformas legítimas, incluso utilizando certificados SSL para parecer más fiables. Además, los cibercriminales han diversificado los vectores de ataque, incluyendo técnicas avanzadas como "pharming" o ataques de intermediario (MITM), que les permiten interceptar credenciales en tiempo real. Esta evolución ha hecho que los ataques se enfoquen más en empresas y sectores críticos, buscando robar información confidencial o interrumpir operaciones a gran escala”.
Por si fuera poco, como añade Guillermo Fernández Sales Engineering Southern Europe manager de WatchGuard Technologies, “los ciberdelincuentes no se limitan solo al correo electrónico. Ahora el phishing opera a través de múltiples vectores como SMS, WhatsApp o redes sociales, aprovechando que los usuarios utilizan más dispositivos móviles y comparten información en plataformas como LinkedIn. Esta diversificación de canales, junto con la capacidad de construir páginas web falsas que imitan perfectamente sitios legítimos como Microsoft o entidades oficiales, hace que estos ataques sean mucho más difíciles de detectar”.
“Los actores maliciosos pueden beneficiarse del auge de los modelos de suscripción de phishing, también conocido como ‘Phishing como Servicio’”
Anastasia Sotelsek, CyberArk
Para completar esta imagen, Bogdan Botezatu, director de Investigación e Informes de Amenazas en Bitdefender, explica que, “en la última década, los kits de phishing se han vuelto más populares y sofisticados. Se trata de herramientas preempaquetadas y listas para desplegar que permiten a los ciberdelincuentes ejecutar ataques de phishing con un esfuerzo o experiencia técnica mínimos. Estos kits manejan el ataque de principio a fin, desde la creación visual hasta evitar la detección mediante redirecciones complejas y la recolección de información sensible como nombres de usuario, contraseñas y datos de tarjetas de crédito. Incluyen plantillas de sitios web, automatización para enviar correos electrónicos y generar URL, scripts de backend para capturar datos de usuarios y opciones multilingües para campañas globales”.
Las consecuencias devastadoras que puede tener el phishing
Toda esta ristra de elementos de partida que están detrás de un aparentemente simple mensaje (que te ofrece, por ejemplo, un descuento irresistible en el smartphone de moda) pintan una especie de goyesco retrato cyberpunk. Pero las consecuencias que puede tener caer en el engaño nos llevan directamente a la serie de pinturas negras.
Si picas el cebo, ”inicialmente, lo más probable es que instalen un ladrón de información en su ordenador que pueda capturar sus identidades online y posteriormente descargar más software malicioso. Si se trata de un ordenador de empresa, suele ser el comienzo de ataques como el ransomware, ya que necesitan apoyarse en un ordenador de confianza. Si se trata de un ordenador doméstico, pueden contentarse con robar sus contraseñas y tratar de cometer fraude financiero o de identidad”, según nos cuenta Chester Wisniewski, de Sophos.
“Capacitar a los usuarios sobre las tácticas más comunes, mediante simulaciones y programas de formación, mejora la capacidad para identificar intentos fraudulentos”
Pedro Viana, Kaspersky Iberia
Guillermo Fernández, de WatchGuard, añade además la repercusión que puede tener en el entorno corporativo: en el entorno empresarial, una filtración de datos o un ciberataque exitoso puede deteriorar gravemente la confianza de clientes, partners y empleados; si el incidente implica incumplimiento de normativas como el GDPR, las multas pueden ser millonarias; y, en casos extremos, los costes derivados del ataque, tanto directos como indirectos, pueden hacer insostenible la continuidad de una empresa”.
Cómo despertar nuestra capacidad de detectarlo
Así pues, es fundamental tener un grado de sensibilidad muy alto para detectar el phishing. Por ello preguntamos también a los expertos qué factores se deben tener en cuenta para poder detectar el phishing. ¿Qué elementos deberían hacer saltar nuestra alarma interna para que nos lo pensemos dos veces antes de aceptar una oferta que parece demasiado buena para ser cierta?
El primer elemento al que debemos estar atentos es el propio remitente del correo. Aunque se parezca mucho al del emisor legítimo, suele haber alguna pequeña variación. Quizá no nos fijemos en ello de entrada, pero si hay algún otro elemento extraño, es fácil confirmar la impresión examinando con cuidado el correo desde el que nos ha llegado.
“Debemos acostumbrarnos a, si no reconocemos lo que nos llega, pararnos y llamar a la empresa que nos contacta en el número público que conocemos”
Pablo Valenzuela, Netskope
Bogdan Botezatu, de Bitdefender, recuerda que “otros posibles indicadores de alerta incluyen: urgencia, el mensaje insiste en que algo debe hacerse inmediatamente, bajo diferentes pretextos; cambio de canal, el atacante intenta evitar el teléfono o mover la conversación a otro canal; solicitudes sensibles, como pedir información confidencial por correo electrónico; archivos adjuntos sospechosos, como documentos con macros habilitadas (.docm, .xlsm) o archivos comprimidos (.zip); formas de pago inusuales, por ejemplo, una institución gubernamental solicitando pagos a través de tarjetas de regalo; y cambios en datos de pago, como la solicitud para modificar información de pago almacenada por la organización”.
Pedro Viana, de Kaspersky Iberia, añade que “es recomendable revisar si el saludo es genérico o si hay errores ortográficos y gramaticales, ya que, aunque la IA ha mejorado en redacción, aún puede cometer fallos. Los enlaces y archivos adjuntos también representan un gran riesgo. En este sentido, hay que verificar siempre la URL antes de hacer clic y evita descargar archivos de remitentes desconocidos. Por otro lado, el diseño del mensaje puede ser otra señal de alerta. Los usuarios deben comparar los logotipos, colores y fuentes con los de comunicaciones previas de la organización legítima para identificar discrepancias”.
“La creciente sofisticación de estos ataques, especialmente con el uso de IA generativa, representa un desafío constante para individuos y organizaciones”
Sergio Martínez, SonicWall
La capacidad para detectar todos estos elementos es algo que se puede entrenar. Por ello en muchos planes de formación en ciberseguridad de las compañías se hacen ejercicios prácticos, a menudo sin que los empleados sepan que se trata de una prueba, para ver si los mensajes de concienciación están calando en los empleados. Estas actividades nunca eliminan completamente el problema, pero los CISO coinciden en que contribuyen a reducirlo.
Y, además, el apoyo de la tecnología
Anastasia Sotelsek, principal sales engineer de CyberArk, explica que “la educación sobre phishing es fundamental. Enseñar a los usuarios sobre las ramificaciones de su comportamiento, como reenviar correos electrónicos personales a cuentas de trabajo, puede ayudar, pero no es suficiente por sí sola, y es poco probable que las estrategias de prevención de phishing que se centran en la responsabilidad humana tengan éxito. La seguridad debe comenzar con una mentalidad de asumir que vamos a tener una brecha, que reconozca que todos los usuarios pueden ser víctimas de phishing”.
“Durante las fiestas navideñas, y ahora con la posibilidad del teletrabajo, se utilizan más las notificaciones de envío de mensajería como cebo”
Chester Wisniewski, Sophos
Lo que nos lleva al último punto, la tecnología. Pablo Valenzuela, de Netskope, señala que la autenticación multifactor es una medida básica. Y, más allá de la concienciación, que es “la primera y también la última barrera de defensa”, explica que “para cualquier web desconocida o potencialmente peligrosa, la tecnología de aislamiento de la navegación protegerá a nuestros usuarios, pudiendo incluso permitir visualizarla en modo solo lectura hasta que sea clasificada apropiadamente”. También destaca la importancia de los “feeds de seguridad y motores de ML capaces de detectar la navegación hacia sitios de Phishing así como comportamientos extraños de los usuarios (mediante UEBA), permitiendo detecciones dinámicas que se adapten a las nuevas técnicas”.
Anastasia Sotelsek, de CyberArk, incide en la protección de los navegadores: “los atacantes continúan aprovechando las vulnerabilidades de los navegadores dirigidos al consumidor para comprometer identidades y acceder a datos y recursos confidenciales de la empresa. Un navegador seguro puede evitar que se muestren enlaces de phising, manteniendo así seguros al usuario y la cuenta. Los navegadores seguros cuentan con MFA adaptativo para supervisar continuamente a los usuarios en busca de cualquier actividad anómala dentro del navegador y solicitar la reautenticación”.
“Los fabricantes debemos trabajar para proporcionar soluciones que no solo protejan frente a estas amenazas, sino que también minimicen su impacto”
Guillermo Fernández, WatchGuard Technologies
A todo ello, Sergio Martínez, de SonicWall, añade “los sistemas de filtrado de correo electrónico avanzados, con soluciones que empleen IA y aprendizaje automático para identificar y bloquear correos electrónicos sospechosos antes de que lleguen al usuario final; las simulaciones de phishing para evaluar la preparación de los usuarios y reforzar las políticas de seguridad; y la actualización constante de software y sistemas con los últimos parches de seguridad para reducir las vulnerabilidades que los atacantes podrían explotar”.
Al final, los equipos de ciberseguridad trabajan con probabilidades. Proteger el email para reducir la posibilidad de que lleguen mensajes maliciosos a los empleados. Aumentar su concienciación e higiene digital para, si el mensaje les llega, reducir la posibilidad de que piquen en el phishing. Si pican, limitar el impacto que pueda tener con medidas como la doble autenticación o las políticas Zero Trust. Es decir, conseguir que el ataque tenga menor probabilidad de éxito. Y, por si todo falla, tener un buen plan de recuperación y continuidad de negocio.