¿Ha recibido enlaces de dudosa procedencia vía email?: así actúa el "pishing dinámico" para robar información confidencial a los usuarios
El phishing es un tipo de ciberataque en el que los delincuentes intentan engañar a las personas para que revelen información confidencial y es una de las tácticas más utilizadas por los ciberdelincuentes para robar credenciales de usuarios.
Recientemente se conoció, gracias a un comunicado de la empresa de ciberseguridad ESET, la modalidad de "phishing dinámico" que permite crear páginas falsas más creíbles y difíciles de detectar.
Con la evolución de la tecnología los atacantes han perfeccionado sus métodos, aprovechando herramientas diseñadas para optimizar el envío de maliciosos enlaces vía correo electrónico o por mensajes de texto.
La modalidad, de acuerdo con ESET, utiliza servicios externos para importar logotipos y personalizar páginas de phishing y así lograr un supuesto aspecto legítimo más difícil de detectar.
El objetivo del ataque, una vez se vulneran los datos de inicio de sesión de ciertas redes o plataformas, es adquirir fraudulentamente información personal, financiera y/o de sus redes sociales.
Para efectuar el engaño, el estafador se hace pasar por una persona o empresa de confianza utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.
La novedad del denominado "phishing dinámico" es que los atacantes pueden enviar estos correos electrónicos de phishing que contienen enlaces a sitios maliciosos de una forma más simple, sin tener que realizar una clonación compleja de sitios web.
Los atacantes, según se investigó, realizan una personalización automática de formularios y cuando la víctima hace clic en el enlace el sitio obtiene automáticamente el logotipo de la empresa-objetivo.
Lo anterior no solo da la apariencia de ser una página oficial, sino que también precarga el correo electrónico del usuario en el formulario de inicio de sesión, aumentando la sensación de autenticidad.
Una vez que la víctima introduce su contraseña, la información ingresada se envía en tiempo real a los atacantes y se redirige finalmente a su sitio web corporativo legítimo.
Este proceso, según ESET, hace que el ataque sea complejo de detectar por el usuario, quien, ya siendo víctima del engaño, no podría detectarlo tan fácilmente.
Campañas como estas fueron además referenciadas por el equipo de otra compañía de ciberseguridad: RiskIQ.
Esa empresa encontró el uso de una herramienta denominada LogoKit, cuya función de crear y editar logotipos les permite a los criminales facilitar la creación de páginas de inicio de sesión falsas de forma rápida y convincente.
Según expertos, las técnicas de phishing dinámico presentan ventajas para los ciberdelincuentes al "permitir la personalización en tiempo real".
Los atacantes pueden adaptar la apariencia de la página a cualquier organización-objetivo, llegando a utilizar incluso logotipos de servicios públicos.
Además, al enmascarar sus ataques con elementos visuales de servicios legítimos, evitan ser detectados por los filtros de seguridad tradicionales.
Dichos ataques son ligeros y fáciles de alojar en plataformas de desarrollo y almacenamiento web como Firebase, Oracle Cloud o GitHub, lo que dificulta su identificación y rápida eliminación.
A su vez, la existencia de redirecciones abiertas en muchos servicios en línea permite a los atacantes ocultar enlaces maliciosos en dominios que son normalmente confiables para los usuarios.
Para mitigar el riesgo de ataques, desde ESET aconsejan que las organizaciones implementen medidas como un segundo factor de autenticación, conocido como MFA, que consiste en, aparte del uso de la contraseña habitual, implementar el reconocimiento facial, códigos de inicio de sesión o huella dactilar, entre otros.
Esas herramientas, así como añadir una capa adicional de seguridad, ayudan a prevenir el uso indebido de credenciales robadas.
