3min. read

El aumento de la frecuencia y sofisticación del phishing es uno de los muchos problemas que nos ha dejado la pandemia. Tiene lógica, de hecho. Unas plantillas cada vez más habituadas a trabajar desde casa abonan el terreno para este tipo de prácticas.

En esencia, el phishing consiste en engañar a los usuarios para que hagan clic en algo que no deberían abrir con un señuelo que a primera vista puede parecer auténtico. Con el estrés, la ansiedad y toda la problemática que conlleva el entorno de trabajo doméstico, el phishing se aprovecha cada vez más de los empleados que tratan de adaptarse a la nueva normalidad.

El phishing no es un problema nuevo y desde luego no empezó con la pandemia. Los departamentos informáticos llevan años lidiando con él y, aun así, organizaciones de todos los tamaños siguen cayendo en sus garras por diversas razones. Pero no tiene por qué ser así. Existen procesos proactivos, controles y tecnología que contribuyen a reducir el riesgo.

Por qué la seguridad web tradicional no es eficaz contra el phishing moderno

El phishing ha seguido evolucionando en los últimos años. Los controles de seguridad empresariales que en su momento solían tener cierta eficacia contra el phishing ya no sirven para garantizar la seguridad del correo electrónico ni de la web.

De hecho, nuestros estudios revelan que hasta el 90 % de los kits de phishing ahora incluyen técnicas de evasión integradas que hacen inútil la seguridad web tradicional. Los kits de phishing proporcionan el phishing como servicio para los atacantes de forma eficaz, con capacidad para eludir la detección.

Durante mucho tiempo, la seguridad web tradicional ha utilizado bases de datos de direcciones URL para identificar y bloquear el acceso a sitios web maliciosos, incluidos los sitios de phishing. Para elaborar estas bases de datos de URL maliciosas, los proveedores utilizan rastreadores web que analizan infinidad de sitios y añaden los que consideran de phishing a la base de datos. Quienes usan los kits de phishing lo saben, y también saben cómo eludir el rastreador web. Por eso sus direcciones maliciosas nunca aparecen en las bases de datos.

Los ataques modernos de phishing tampoco suelen implicar el uso de malware, un hecho que activaría las tecnologías de detección más habituales. El phishing actual es sigiloso y emplea muchas técnicas diferentes de ofuscación para eludir los análisis de seguridad web tradicionales.

Por qué es difícil detectar el phishing: las múltiples formas de ataque

Exactamente, ¿cómo evitan los ataques de phishing los controles de seguridad de las bases de datos de filtrado web tradicionales? He aquí algunos ejemplos:

Ocultación de contenidos maliciosos mediante cloaking

Los rastreadores web de seguridad no analizan el tráfico web en directo, sino que analizan una serie de páginas web procedentes de espacios IP que se sabe que son utilizados por proveedores de seguridad. Como los ciberdelincuentes conocen la situación, los kits de phishing están diseñados para camuflar sus malévolas intenciones con técnicas de cloaking. Por eso, responden con contenido inocuo o una página en blanco al análisis del proveedor de seguridad. Esto engaña a la base de datos de URL para que clasifique la página de phishing como benigna y le permita pasar los controles de seguridad. Cuando la víctima accede a la página de phishing, esta revela su verdadero contenido y ahí es cuando causa los daños.

Ataques en varios pasos y las pruebas CAPTCHA

Los ataques de phishing se esconden cada vez más detrás de pasos aparentemente legítimos para pasar desapercibidos en el análisis de seguridad inicial de la URL. Por ejemplo, una página de phishing puede ocultarse tras una prueba CAPTCHA. Es una práctica realmente astuta, porque las pruebas CAPTCHA están diseñadas precisamente para evitar que los bots automatizados — rastreadores web incluidos— accedan al contenido que intentan proteger. Cuando un rastreador web analiza la página, solo ve la prueba CAPTCHA, que en sí misma es inofensiva, y clasifica como benigna la página de phishing que se esconde detrás.

Enlaces de corta duración y de un solo uso

Los ciberdelincuentes están creando una enorme cantidad de direcciones URL de phishing nuevas porque hacerlo ahora es más barato y fácil que nunca. Hay páginas de phishing que se utilizan apenas unas horas, o incluso minutos, y enseguida reaparecen con una nueva URL para que las bases de datos de seguridad no tengan tiempo de rastrearlas ni bloquearlas. Los enlaces de un solo uso también se utilizan habitualmente para ataques dirigidos; tras cumplir su misión, nunca más se vuelven a utilizar.

Ataques internos en sitios web en riesgo

Los atacantes saben que los sitios web legítimos se clasifican como benignos en las bases de datos de direcciones URL y, en muchos casos, tienen las puertas abiertas sin necesidad de someterse a revisión alguna. Si un atacante es capaz de entrar en un sitio web legítimo, puede crear una página de phishing dentro de él sorteando la seguridad de la web con su disfraz. Este tipo de páginas de phishing son especialmente efectivas, ya que también engañan más fácilmente a los usuarios finales, que creen que están interactuando con un sitio web conocido.

Los sistemas tradicionales de filtrado web, correo electrónico y autenti- cación multifactor no son suficientes por sí solos

En la carrera por protegerse contra los ataques de phishing, algunas organizaciones han implementado tecnologías de autenticación de correo electrónico y de autenticación multifactor.

El problema es que no todo el phishing llega por correo electrónico. Un ataque de phishing procedente de un sitio malicioso que ha visitado el usuario no se frenará porque la organización del usuario tenga un sistema de autenticación de correo electrónico. Los enlaces de phishing también se suelen camuflar en documentos alojados en herramientas de colaboración SaaS como parte de los anuncios en las páginas web y, cada vez más, también en los SMS, eludiendo por completo cualquier control del correo electrónico.

Cómo reducir el riesgo de phishing

¿Qué puede hacer su organización para reducir el riesgo de phishing? Hay varias soluciones eficaces:

Uso de soluciones de seguridad antiphishing que no se limiten al correo electrónico

La clave está en tener claro que el phishing no es un problema solo del correo electrónico. Es importante contar con un conjunto de soluciones de seguridad que sean capaces de hacer frente a los ataques de phishing avanzados e invasivos. Los sistemas basados en bases de datos de URL y rastreadores web no sirven. Se necesitan tecnologías como el aprendizaje automático integrado, capaces de analizar realmente el contenido de las páginas cuando se muestre al usuario final para evitar el riesgo de phishing y el efecto «paciente cero».

Formación

La tecnología es importante, pero a estas alturas lo más lógico sería tener algún tipo de programa de formación para que los empleados sean conscientes de los riesgos del phishing. Los ataques de phishing que se sirven de la ingeniería social no pretenden aprovecharse de la tecnología, sino de las personas. La formación ayuda a tomar conciencia de la importancia de la seguridad y hace que los empleados formen parte de la solución del problema.

Un enfoque que tenga en cuenta todo el ciclo de vida de la seguridad

El riesgo de phishing no se reduce con una determinada tecnología, sino adoptando una estrategia que no pase por alto ninguna de las fases del ciclo de vida de la seguridad. Dicho de otra manera, la organización debe dotarse de funciones tanto proactivas como reactivas. Por mucha seguridad que implemente o por mucho que invierta, la posibilidad de sufrir un incidente siempre está ahí. ¿Qué ocurre si un empleado es víctima del phishing y le roban sus credenciales? ¿La organización tiene capacidad para detectar accesos maliciosos y tomar las medidas necesarias?

El equipo directivo debe colaborar con los distintos departamentos para asegurarse de que disponen de la tecnología, el personal y los procesos necesarios para prevenir el mayor número posible de ataques de phishing. Y es que el phishing es una amenaza muy polifacética e imposible de derrotar sin una estrategia integral. En definitiva, para solucionar este problema su organización debe contar con un proceso integrado que englobe soluciones tanto proactivas como reactivas. Porque si tiene una cosa pero no la otra, no estará realmente capacitada para hacer frente a la amenaza.