México y varias regiones del mundo se enfrentan a un nuevo fraude digital, más eficiente y con técnicas de engaño nunca vistas, denominado phishing activo, que “pesca” a sus víctimas sin ser detectado.
La empresa de ciberseguridad ESET alertó que, con la evolución de la tecnología, los atacantes han perfeccionado sus métodos, aprovechando herramientas diseñadas para optimizar el envío las campañas de estafas digitales.
Señaló que, precisamente, con el objetivo de hacer sus engaños más creíbles, los ciberdelincuentes comenzaron a utilizar el phishing dinámico, que utiliza servicios externos para importar logotipos y personalizar páginas de estafas actuales y, así, lograr un aspecto legítimo más difícil de detectar.
“El phishing es un ataque cuyo el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima, como contraseñas o detalles de la tarjeta de crédito, cuentas de redes sociales y corporativas o de juegos online.
“Para efectuar el engaño, el estafador se hace pasar por una persona o empresa de confianza utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea e, incluso, llamadas telefónicas” explicó la firma.
Modus operandi del phishing dinámico
El jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya, explicó que la novedad del phishing dinámico es que los atacantes pueden enviar mails de phishing, con enlaces a sitios maliciosos, de una forma más simple y sin una clonación compleja de sitios web.
El engaño, detalló, empieza con un correo electrónico, que contiene una liga de sitio web preparado para simular la página oficial de login, la cual permite la personalización dinámica en función de la empresa-objetivo.
“El correo electrónico o nombre de usuario de la víctima se rellena de forma automática, para hacer creer que ya han iniciado sesión anteriormente, aumentar la sensación de autenticidad” y facilitar el robo datos, cuentas y contraseñas.
“Una vez que la víctima introduce su contraseña, la información se envía en tiempo real a los atacantes mediante una solicitud AJAX, redirigiéndola finalmente a su sitio web corporativo legítimo. Este proceso hace que el ataque sea complejo de detectar por el usuario”, apuntó el especialista.
Peligros del phishing dinámico
A través de su informe de seguridad más reciente, ESET advirtió que:
- El nuevo phishing facilita la creación de páginas de inicio de sesión falsas de forma rápida y convincente.
- Las técnicas de phishing dinámico presentan ventajas para los ciberdelincuentes: permite la personalización del fraude en tiempo real.
- Los atacantes pueden adaptar la apariencia de la página a cualquier organización-objetivo, utilizando logotipos de servicios públicos.
- Al enmascarar sus ataques con elementos visuales de servicios legítimos, evitan ser detectados por los filtros de seguridad tradicionales.
- Estos ataques son ligeros y fáciles de alojar en plataformas como Firebase, Oracle Cloud o GitHub, lo que dificulta su identificación y eliminación rápida.
- La existencia de redirecciones abiertas en muchos servicios en línea ayuda a los atacantes ocultar enlaces maliciosos en dominios confiables.
¿Cómo enfrentar al nuevo phishing?
ESET te recomienda:
- Las empresas deben implementar medidas como un segundo factor de autenticación (MFA).
- Añadir una capa adicional de seguridad, para prevenir el uso indebido de credenciales robadas.
- Vigilancia constante e implementación de mejores prácticas de seguridad contra cualquier amenaza digital o cibernética.
