Gobierno e Ibex, desprotegidos frente a posibles ataques de phishing

Los ataques de phishing se han incrementado de manera exponencial en los últimos años. Según estudios recientes, los intentos de phishing, por ejemplo, a través de correo electrónico, representaron casi la mitad de todos los correos enviados en el año 2021. 

Bajo esta perspectiva, el término “phishing” se ha hecho tremendamente popular. No hay día en el que no nos despertemos con una noticia sobre un intento de phishing a empresas o ciudadanos anónimos a través de mecanismos cada vez más imaginativos.  

Phishing e Ingeniería social

En los ataques de phishing, la suplantación de la identidad y la ingeniería social juegan un papel fundamental. No en vano, los ciberdelincuentes hacen uso de identidades falsas en función de la sensibilidad humana y las necesidades que las personas tienen en cada momento.  

Cuando el tema que nos preocupaba era la declaración de la renta, los “mensajes del Ministerio de Hacienda” eran el foco principal de los ataques de phishing; cuando estábamos centrados en la pandemia, los mensajes relacionados con la sanidad, en todas sus vertientes —productos, organismos públicos, seguridad, etc.—, fueron los que captaron la atención de los ciberdelincuentes. Ahora que la guerra de Ucrania pone en liza la falta de suministros o de libertad de expresión, es más que posible que los ciberdelincuentes se hagan pasar por ONG o incluso por periodistas.   

Técnicas genéricas de phishing

El objetivo siempre es conseguir que la víctima ejecute alguna acción que permita al ciberdelincuente obtener algún tipo de beneficio, sea en forma de transacción económica, acceso a información o control de sistemas informáticos. 

Partiendo de esta premisa, la acción de la víctima se convierte en uno de los pasos clave a la hora de que un ataque de phishing consiga su objetivo. Por eso mismo, las estrategias utilizadas por los ciberdelincuentes hacen uso de técnicas que cada vez resultan más imaginativas. 

A continuación, recogemos algunas de esas técnicas que han sido, y son, utilizadas por los delincuentes en los ataques de phishing. Se trata de técnicas ingeniosas, poco conocidas, que en ocasiones están particularizadas para sectores o grupos de personas pero que comparte un patrón de común en su forma de actuar. 

Búsquedas dirigidas

La suspicacia de los usuarios frente a los enlaces que aparecen en los correos electrónicos ha hecho que los ciberdelincuentes recurran a mecanismos alternativos para ganarse la confianza de sus víctimas.  

Se han detectado técnicas de phishing que hacen uso de recomendaciones de búsquedas en Google que están dirigidas a sitios web deliberadamente preparados y que previamente han alcanzado altas valoraciones de idoneidad utilizando técnicas de posicionamiento SEO 

Los ciberdelincuentes dedican parte de su tiempo a conseguir que, frente a ciertos términos, los sitios web que actúan como cebo aparezcan en los primeros lugares de las búsquedas, por ejemplo, de Google. De esta forma, cuando posteriormente hagan una recomendación a sus víctimas sobre un determinado concepto o término, estas serán dirigidas al destino especialmente preparado para actuar como señuelo. 

Información cifrada exclusiva para el destinatario

La desconfianza de una víctima se combate utilizando precisamente la preocupación por la confianza.  

Se han detectado técnicas de phishing que hacen uso de recomendaciones de búsquedas en Google

A partir de aquí, los ciberdelincuentes tratan de convencer a sus víctimas con accesos a recursos aparentemente cifrados y personalizados para ellos. De esta forma, los destinatarios perciben una falsa sensación de seguridad. El ciberdelincuente les invita a utilizar información confidencial, como usuario y contraseña, a modo de mecanismo de descifrado. La confusión entre conceptos como “claves de cifrado” y “claves de acceso a información” juega un papel fundamental en el éxito de este tipo de técnicas. 

Lo habitual de estos ataques es que, a través de un correo electrónico, el delincuente convenza a su víctima, por ejemplo, de que un fichero contiene información confidencial cifrada y que solo él o ella podría descifrar introduciendo su usuario y contraseña; algo totalmente imposible de cumplir y que puede confundirse con la gestión de criptografía de clave pública-privada.   

MFA para usos no definidos

El uso de mecanismos de doble autenticación se encuentra cada vez más extendido. El sector financiero, por ejemplo, dentro del cumplimiento de la normativa europea PSD2, lo utiliza de forma habitual. Pero no es el único. Cada vez más, cuentas de correo electrónico, accesos a aplicaciones comerciales o incluso redes sociales implementan mecanismos de doble autenticación que reducen el riesgo que el robo de contraseñas puede llevar aparejado. 

Por esto mismo, los ciberdelincuentes recurren a técnicas de MiTM mediante las cuales hacen creer a las víctimas que se ha producido un evento para el cual se le mandará un código de autenticación que deberá proporcionar.  

La realidad es que dicho código no se corresponde con la operación que la víctima cree ejecutar, sino que sirve al ciberdelincuente para acceder a un servicio sin que el damnificado sea consciente de ello. 

Los ejemplos de uso de este tipo de técnicas son múltiples. Uno de los más evidentes es un mensaje indicando que una cuenta de correo o una cuenta bancaria ha sido bloqueada. A continuación, se pide a la víctima que proporcione el código de verificación que se le enviará como prueba de identidad para su desbloqueo.  Inmediatamente después, la víctima recibirá un código de verificación, enviado por el servicio real al que el ciberdelincuente quiere acceder, y que llegado el caso el usuario proporcionará al delincuente. El resultado final es de todos conocido.   

Microsoft, medio y forma

Otra de las técnicas utilizadas por los ciberdelincuentes está basada en las herramientas de Microsoft para confundir a las víctimas.  

Quizás el ejemplo más representativo lo podemos encontrar en cómo los ciberdelincuentes invitan a descargar un fichero de OneDrive a su víctima mientras al mismo tiempo le presentan un formulario creado a medida desde las herramientas de Microsoft 

El hecho de que los dominios de Internet que aparezcan en el formulario sean los mismos que proporciona Microsoft actúa como “aval de seguridad” frente a la víctima. El objetivo es que la víctima no detecte que en realidad no está accediendo a un servicio de almacenamiento en la nube, sino completando un formulario que inmediatamente será remitido al ciberdelincuente para su explotación.  

Y podríamos seguir… 

Es seguro que podríamos extender la lista de técnicas de ataques de phishing tanto como quisiéramos; pero todas tendrán un denominador común: la ingeniería social jugará un papel preponderante durante el proceso. De hecho, se trata de un elemento clave. Un elemento que solo se podrá combatir a través de la concienciación de forma continua de los propios usuarios.   

Y es que, ahora que las técnicas de Inteligencia Artificial o el blockchain han adquirido mayor protagonismo, el campo de acción para los ciberdelincuentes es muy posible que crezca a ratios exponenciales. Conceptos relacionados con las “deepfakes” o los “Ice phishing” aparecerán cada vez más en los medios especializados, poniendo de manifiesto nuevos modelos de ataques de phishing.  

La conclusión frente a esta realidad parece, pues, obvia: debemos mantenernos en una alerta continua frente a esta realidad. Sería iluso pensar que, con esos recursos, los ciberdelincuentes no serán capaces de definir nuevas técnicas, si cabe más imaginativas, con las que intentarán seguir engañándonos. 

Por Juanjo Galán, Business Strategy de All4Sec 

>