El phishing ha evolucionado más allá de lo obvio, como mala gramática y ortografía o direcciones de correo electrónico falsas.
De hecho, las señales de alerta de phishing más obvias (diseño poco profesional, enlaces a sitios web defectuosos) ya no se aplican. Los ataques de phishing son hábiles y a menudo lucen exactamente como mensajes de un colega o de un banco.
Jefe técnico del Reino Unido en ManageEngine.
Atrás quedaron los días en que los piratas informáticos trabajaban solos en instalaciones aleatorias. Esta es otra idea errónea: los ciberdelincuentes de hoy operan como corporaciones de pleno derecho. Se trata de herramientas de concesión de licencias (kits de phishing “todo en uno” ya preparados) para socios que llevan a cabo ataques.
El artículo continúa a continuación.
El ‘phishing como servicio’ o PhaaS funciona como cualquier otro servicio de suscripción de software: Netflix, Amazon Prime o cualquier otro servicio de entrega de productos. Los atacantes pagan una tarifa mensual que varía según las funciones seleccionadas y, a cambio, reciben páginas de inicio de sesión falsas, plantillas de correo electrónico y alojamiento de sitios web que evitan la eliminación.
Estrategia y técnicas detrás de PhaS
PhaaS se ha convertido en un modelo de negocio próspero en la web oscura. Esto ahorra tiempo y esfuerzo a los delincuentes que no saben cómo construir la infraestructura para alojar correos electrónicos de phishing o páginas de inicio de sesión falsas. También utilizan métodos inteligentes para evitar la detección, como el uso de enlaces a sitios web y plataformas comprometidos que parecen engañosamente legítimos.
Generalmente existen dos modelos de compra; Una compra única de un ‘kit de pesca’, que puede ser simple o avanzado. Los kits más avanzados incluyen funciones como bloqueo geográfico y componentes antidetección para evitar robots antiphishing y motores de búsqueda.
Otro modelo de compra que los clientes pueden elegir es un modelo basado en suscripción en el que una operación PhaaS se encarga de toda la campaña de phishing o de una gran parte de ella para el cliente.
Un buen ejemplo es la aplicación ‘frapo’, que ayuda a los ciberdelincuentes a crear y utilizar páginas de phishing premium llamadas ‘fishlets’. Funciona para recopilar información de las víctimas, como su dirección IP, credenciales de inicio de sesión y agente de usuario. Es anónimo y sus usuarios ni siquiera necesitan registrarse ni crear una cuenta.
Lo particularmente peligroso de estos kits es que están evolucionando, ya que los ciberdelincuentes desarrollan constantemente sus métodos para evitar ser detectados. Pero estos atacantes no son necesariamente más inteligentes: son más rápidos.
Para mantener el ritmo, las empresas deben adoptar una estrategia proactiva y por niveles basada en la visibilidad, la automatización y la minimización de la confianza.
El monitoreo es el nombre del juego
En este contexto, las empresas deberían adoptar la mentalidad de que una infracción puede ocurrir en cualquier momento. Esto significa garantizar que las solicitudes de usuarios y dispositivos sean validadas. La integración de controles de identidad y acceso ayuda a limitar quién puede hacer qué y cuándo. Por lo tanto, si la empresa es atacada, las consecuencias son mínimas.
El marco MITRE recomienda un monitoreo continuo, como única forma de identificar patrones sutiles que indican un ataque en progreso. Las empresas deben monitorear los registros de aplicaciones, el tráfico de red y la creación de archivos.
Utiliza software que puede monitorear el tráfico de la red e inspeccionar paquetes, así como realizar análisis fuera de línea de los correos electrónicos. Y las organizaciones deben estar atentas a cualquier archivo nuevo creado a partir de mensajes de phishing. Esto podría ser el resultado de que un adversario intente obtener acceso a un sistema vulnerable.
Existen herramientas de software que pueden proporcionar análisis para identificar estrategias y subestrategias utilizadas por las empresas para lanzar ataques de phishing o intentar obtener acceso inicial.
Cómo prepararse para las amenazas
Las empresas deberían tomar medidas para proteger a los empleados, muchos de los cuales ni siquiera se dan cuenta de que están en riesgo. Por ejemplo, pueden implementar MFA resistente al phishing, como datos biométricos, claves de seguridad de hardware y claves de acceso, sin añadir fricción a la experiencia del usuario.
La MFA resistente al phishing es extremadamente difícil de descifrar y está diseñada para brindar protección contra el compromiso del código del dispositivo. Este es un paso importante en la batalla para mantenerse por delante de los phishers, a lo que también se puede ayudar mediante la implementación de perfiles de Análisis de comportamiento de usuarios y entidades (UEBA) para identificar anomalías.
De manera similar, las capacidades de orquestación, automatización y respuesta de seguridad (SOAR) se pueden utilizar para automatizar perfiles de flujo de trabajo y asignar tickets a administradores de seguridad para remediar rápidamente los ataques de phishing.
También es útil para las empresas probar la seguridad de los terminales e identificar puntos ciegos. Las organizaciones deben estar configuradas para implementar parches rápidamente, detectar y deshabilitar amenazas como ransomware, imponer el acceso con privilegios mínimos con MFA y proteger datos confidenciales dondequiera que residan.
Adoptar una cultura de ciberseguridad en toda la empresa
Las empresas deberían tratar las defensas de ciberseguridad como una operación continua, no como una lista de verificación trimestral. Eso significa garantizar la aceptación en toda la organización y hacer que la seguridad sea competencia de todos, y no solo del equipo de TI.
Para construir una cultura consciente de la seguridad cibernética, las empresas deben compartir inteligencia sobre amenazas entre equipos. Realice ejercicios del equipo rojo para simular ataques y educar a los empleados sobre por qué las defensas de ciberseguridad son importantes.
Realizar sesiones de capacitación periódicas sobre la detección de intentos de phishing y el uso de contraseñas seguras es un excelente primer paso en la dirección correcta. Los empleados deben ser conscientes de cómo los ataques de phishing están evolucionando y volviéndose más inteligentes: desde correos electrónicos de phishing artificialmente inteligentes hasta suplantaciones de identidad falsas y malware que evoluciona por sí solo.
Las empresas deben repensar cómo pueden avanzar para defenderse contra PhaaS. No se trata sólo de firewalls, herramientas antivirus y seguridad de endpoints: también se trata de construir una cultura consciente de la seguridad que se adapte y anticipe los ataques.
Hemos destacado los mejores proveedores de correo electrónico seguros.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
