Organizaciones mexicanas enfrentan una nueva generación de ataques de phishing
Imagen: Zdzisław Beksiński
La unidad de investigación de SILIKN ha identificado una sofisticada técnica de phishing que pone en jaque a las soluciones de seguridad convencionales, como las puertas de enlace de correo electrónico seguro y los sistemas de protección de endpoints. Esta nueva estrategia permite a los atacantes sortear herramientas automatizadas mediante el uso de verificaciones en tiempo real para determinar si el enlace malicioso está siendo accedido por una posible víctima o por sistemas de análisis de seguridad.
La técnica observada se basa en sitios web maliciosos que ejecutan evaluaciones dinámicas al momento en que se hace clic en el enlace, con el fin de identificar el contexto del usuario. Entre los factores que los atacantes analizan se encuentran:
- Ubicación geográfica: El acceso a la página puede restringirse en función de la región, impidiendo que sistemas de análisis ubicados en ciertas zonas puedan interactuar con el contenido malicioso.
- Tipo de dispositivo y sistema operativo: El sitio puede bloquear accesos desde máquinas virtuales o sistemas que no se alineen con el perfil de una víctima real.
- Comportamiento humano: Algunas páginas solo despliegan contenido fraudulento si detectan interacción humana, como clics o movimientos del ratón.
Si el sistema detecta que el acceso proviene de un entorno sospechoso — como un sandbox o una herramienta de escaneo automatizado — , el sitio responde mostrando un error (por ejemplo, un código 403 de acceso denegado) o redirige al usuario hacia una página legítima, ocultando así su verdadero propósito.
Durante el análisis, la unidad de investigación de SILIKN detectó un sitio que suplantaba una página de inicio de sesión de Microsoft Outlook. Este sitio ejecutaba scripts en JavaScript para inspeccionar el entorno del visitante. Si el sistema evaluaba que el usuario era legítimo, desplegaba un formulario falso para capturar credenciales. En caso contrario, evitaba mostrar cualquier señal de actividad maliciosa.
Además de las verificaciones en tiempo real, los atacantes están utilizando técnicas como la generación dinámica de enlaces y el HTML smuggling, que permite ocultar código malicioso en archivos aparentemente seguros. También aprovechan plataformas legítimas como Cloudflare Workers para alojar sus páginas, lo que contribuye a aumentar la credibilidad de las campañas ante los ojos de los usuarios y dificulta su detección por parte de filtros automatizados.
Según la unidad de investigación de SILIKN, estas tácticas ya han sido utilizadas en ataques dirigidos contra empresas de diversos sectores, con fines que van desde el robo de credenciales corporativas hasta la instalación de malware. La evolución de estas amenazas revela una tendencia preocupante: los actores maliciosos están adoptando métodos cada vez más elaborados para evadir las defensas tradicionales.
Ante este panorama, la unidad de investigación de SILIKN recomienda a las organizaciones adoptar un enfoque de ciberseguridad más dinámico y proactivo. Entre las principales medidas sugeridas se encuentran:
- Capacitación del personal: Enseñar a los empleados a reconocer correos y enlaces sospechosos.
- Actualización de herramientas de seguridad: Incorporar soluciones capaces de detectar comportamientos anómalos en tiempo real.
- Autenticación multifactor (MFA): Aumentar la protección de sistemas críticos para mitigar el riesgo ante el robo de credenciales.
- Monitoreo constante: Supervisar continuamente el tráfico de red y las actividades inusuales para identificar posibles ataques.
La aparición de esta técnica marca un punto de inflexión en el desarrollo de amenazas digitales. Mientras los ciberdelincuentes perfeccionan sus métodos, las organizaciones deberán mantenerse en constante evolución para proteger sus activos y su información más sensible.
Para más información, visite: https://www.silikn.com/