En 2022, según las empresas de análisis Radicati y Statista, se envían cada día nada menos que 3400 millones de correos electrónicos de phishing. Una cifra de locura que lleva a plantearse algunas preguntas. ¿Cómo es posible que un fenómeno tan bien identificado desde hace décadas consiga colarse a través de los mecanismos de protección año tras año? ¿Y cuáles son sus últimos avances? Una mirada a un fenómeno que no deja de cobrarse víctimas.
Pero, ¿qué es el phishing? Una técnica maliciosa para engañar a un tercero para que realice una acción peligrosa para robarle información personal como contraseñas, fechas de nacimiento, números de tarjetas de crédito o copias de documentos de identidad. Para ello, esta técnica utiliza diferentes usurpaciones (usurpación de sitios web, de nombres de dominio, de identidades, etc.) y diferentes canales (correo electrónico, sms, etc.). Una definición completada por la de Mitre Att&ck que incluye la posibilidad de que los correos electrónicos contengan archivos adjuntos o enlaces maliciosos. Incluso hoy en día, el 91 % de los ciberataques utilizan el correo electrónico como principal vector de compromiso. Esta situación ha dado lugar a acciones de sensibilización a escala nacional, como la campaña «Think before you click» del Center for cybersecurity de Bélgica. Ante esta actividad, es interesante preguntarse de dónde viene este tipo de ataque y cómo se ha democratizado entre los ciberdelincuentes.
Los inicios artesanales y las primeras evoluciones del phishing
La palabra phishing se acuñó en 1996 en un grupo de noticias de Usenet llamado AOHell. Para enfatizar la naturaleza de suplantación de este ataque, el autor cambió deliberadamente la ortografía de fishing a phishing. La usurpación del acceso de los usuarios a las cuentas AOL abrió lo que más tarde se convertiría en una tendencia básica entre los ciberdelincuentes: la de poder dirigirse masivamente a los clientes de una gran empresa. «Cuando surgió el phishing, el objetivo eran sobre todo los particulares a través de las marcas de consumo —añade Adrien Gendre, director de tecnología y productos de Vade—. El episodio de AOHell es un ejemplo perfecto de ello, ya que American Online era por entonces una marca fuerte y un actor importante en el mercado de los ISP. Así, millones de usuarios pueden ser objetivo de un mismo escenario.»
En el pasado, los actores individuales generaban ingresos de forma maliciosa a partir de unas pocas víctimas. Ahora hablamos de organizaciones estructuradas de ciberdelincuentes, que utilizan el phishing para generar ingresos, hacer espionaje industrial o guerra económica. Esto nos lleva a la aparición de actividades de phishing que suplantan a las marcas B2B.
Adrien Gendre, director de tecnología y productos de Vade
Sobre esta base nació el concepto Spray and Pray en la década de 2000. Se trata de una campaña de phishing que se hace pasar por una marca mundialmente conocida y se dirige a direcciones de correo electrónico de forma indiscriminada y a gran escala. Premios de lotería, campañas benéficas, cierre de su cuenta bancaria... cualquier tema es bueno para estafar a las víctimas. Fácilmente reconocibles, las primeras campañas de phishing contenían numerosas faltas de ortografía, errores tipográficos, imágenes de mala calidad y un sentido del mensaje variable debido a la falta de un traductor en línea. Al mismo tiempo, también surgió el concepto de phishing de clones. Su objetivo es sencillo: usurpar la identidad de marcas conocidas y utilizadas en la vida cotidiana, tanto personal como profesional. Un cambio de paradigma según Adrien Gendre: «Se ha creado toda una economía detrás del phishing. En el pasado, los actores individuales generaban ingresos de forma maliciosa a partir de unas pocas víctimas. Ahora hablamos de organizaciones estructuradas de ciberdelincuentes, que utilizan el phishing para generar ingresos, hacer espionaje industrial o guerra económica. Esto nos lleva a la aparición de actividades de phishing que suplantan a las marcas B2B.» Siguiendo las nuevas prácticas, los ciberdelincuentes apuntan entonces al correo electrónico, los espacios de almacenamiento o incluso los documentos compartidos en Microsoft 365 y Google Workspace. Solo en febrero de 2022, el proveedor Vade detectó casi 23 millones de correos electrónicos de phishing que suplantaron la identidad de la marca Microsoft.
Los proveedores de ciberseguridad están respondiendo a esta amenaza con filtros antiphishing (basados en sobres de correo electrónico, objetos, contenidos o direcciones IP) y otras tecnologías de doble autenticación. Para pasar desapercibidos, los ciberdelincuentes recurren a la suplantación de la identidad de personas. El objetivo de esta técnica es comprometer la cuenta de correo electrónico de un empleado (BEC o business email compromise) con el fin de apropiarse de su identidad ante empleados, clientes y socios, como en los ejemplos de los ataques de fraude contra el presidente. «El fraude contra el presidente se utiliza para la extorsión financiera —destaca Adrien Gendre—. Y se establece con frecuencia durante los periodos de vacaciones cuando el director está fuera. Se trata de un fraude temible, ya que permite robar cantidades ingentes de dinero a una empresa con un simple correo electrónico.» Esto es precisamente lo que le ocurrió a un promotor inmobiliario que fue víctima de un fraude contra el presidente de una cantidad récord de 33 millones de euros en Francia en enero de 2022. Aunque la fecha exacta sigue sin estar clara, se cree que estos primeros ataques dirigidos surgieron entre 2014 y 2015 en Estados Unidos y ahora conviven con técnicas de phishing «simple».
Un tipo de phishing que también será emulado en los años 2000. De hecho, se observará un mecanismo similar al phishing en los sistemas de mensajería en línea MSN, Hotmail o ICQ y, posteriormente, en Facebook. Conocidas como romance scam o estafas románticas, estas suplantaciones suelen ser obra de ciberdelincuentes estructurados en equipo. También conocidos como grazers, estos ciberdelincuentes embaucan a las mujeres, normalmente viudas, para extorsionarles grandes cantidades de dinero. Los hombres tampoco se libran aquí; ellos son víctimas de sextorsión y ataques con cámara web. Esta técnica se inspira en gran medida en el phishing y juega con la credulidad del internauta.
La creciente complejidad de las campañas de phishing
En respuesta a las contramedidas de los editores de software de ciberseguridad y a una cierta madurez del público ante la amenaza, las campañas de phishing se han vuelto más sofisticadas. Y han acentuado su aspecto psicológico. Una campaña de phishing consiste siempre en conseguir que la víctima haga algo; un simple correo electrónico no es suficiente. El mensaje debe ser tal que obligue a la víctima a hacer clic, arrastrada por una sensación de urgencia, miedo, estrés o incluso por codicia. «Los ciberdelincuentes utilizarán las emociones primarias de sus víctimas para garantizar el máximo número de clics, la mayoría de las veces por miedo —afirma Sébastien Viou, director de productos de ciberseguridad y consultor cibernético de Stormshield—. Miedo a perder dinero, miedo a que se cancele su suscripción, miedo a ser despedido; a menudo estos miedos son incontrolables y provocan una reacción instintiva y rápida. Por eso este tipo de ataque tiene tanto éxito...»
Los ciberdelincuentes utilizan las emociones primarias de sus víctimas para garantizar el máximo número de clics, la mayoría de las veces por miedo. Miedo a perder dinero, miedo a que se cancele su suscripción, miedo a ser despedido; a menudo estos miedos son incontrolables y provocan una reacción instintiva y rápida. Por eso este tipo de ataque tiene tanto éxito...
Sébastien Viou, director de ciberseguridad de productos y consultor cibernético de Stormshield
Con ayuda de herramientas de automatización de campañas de phishing como Gophish o Sniperphish, los ciberdelincuentes utilizan ahora plantillas de páginas de captura y plantillas de correo electrónico ya preparadas. Y para engañar a sus víctimas, estos ciberdelincuentes se adaptan a los nuevos usos y modas de la sociedad. Tras años de dominación de los servicios bancarios a escala mundial, las redes sociales pasan a un primer plano. Durante el periodo 2019-2021, Facebook, LinkedIn y WhatsApp se convierten así en las marcas más suplantadas en este tipo de campañas, junto a marcas como Google y Apple. Tras las oleadas de Covid-19, las marcas de reparto son a su vez objetivo en 2021: DHL, FedEx, Amazon y AliExpress se encuentran entre las 10 marcas más suplantadas.
Para contrarrestar la creciente vigilancia de los sistemas de detección y de los usuarios, los ciberdelincuentes están aplicando nuevas tácticas. El typosquatting (o compra de un dominio similar) es uno de los mecanismos más utilizados, ya que es uno de los más baratos. Al alojar una página de phishing en un dominio muy parecido al original, la víctima no se da cuenta de que está visitando una página de phishing. En la mayoría de los casos, la dirección del sitio web es similar con una letra de diferencia (como el ejemplo de mcrosoft.com en lugar de microsoft.com). En julio de 2022, se registraron más de 1000 dominios similares en .fr. Mostrar una falsa validación del correo electrónico recibido es otra técnica para bajar la vigilancia de la víctima. En los correos electrónicos aparecía un banner falso, en forma de imagen, que indicaba que el remitente y el archivo adjunto eran legítimos y que había sido validado por el mecanismo de filtrado. Cuanto más grande, mejor. El enlace de phishing también se ha modificado y ahora está incrustado en una cadena de enlaces de redireccionamiento, de modo que los filtros antiphishing no pueden llegar a la URL final. El cuerpo del correo electrónico también ha sido reconsiderado por los ciberdelincuentes e integrado en una imagen para contrarrestar la detección textual. Recientemente, ha surgido una nueva técnica de ofuscación, según ha informado Adrien Gendre: «Con el Con el fin de eludir los filtros de detección de falsificación de logotipos, los ciberdelincuentes ahora muestran el logotipo no como una imagen, sino como una tabla formada por un conjunto de celdas de un píxel de ancho. Así, el logotipo es idéntico a simple vista, pero la tabla hace que sea más difícil de identificar a través de un filtro antiphishing. Esta usurpación es, sin embargo, detectable con un análisis visual a través de un algoritmo de «computer vision»».
Al mismo tiempo, las (múltiples) fugas de bases de datos que contienen direcciones de correo electrónico o números de teléfono son una verdadera mina de oro para los ciberdelincuentes. La lista de fugas de datos récord incluye a Yahoo en 2013 con 3000 millones de datos de clientes, a Facebook en 2019 con 540 millones de datos y a Instagram en 2020 con 200 millones de datos. Durante el periodo de 2004 a 2022, se registraron 353 exfiltraciones y publicaciones de bases de datos con más de 30 000 registros. Por desgracia para las víctimas, el análisis de esta masa de datos revela el uso de una misma contraseña, que suele ser débil y se utiliza repetidamente en cuentas de redes sociales o de correo electrónico. Esta escasa higiene digital facilita el compromiso de las cuentas y, por analogía, el fuerte aumento del número de víctimas de phishing. A través de este conocimiento de las víctimas se han desarrollado campañas de phishing por afinidad.
El phishing se exporta a los nuevos medios de comunicación
Después de décadas de inundar el correo electrónico, el phishing se está exportando a nuevos medios.
El llamado smishing, o phising por SMS, parece haberse acelerado durante el periodo de los confinamientos, tal como informa Adrien Gendre. «Debido al fuerte aumento de la demanda de envíos a domicilio durante los confinamientos, el número de ataques de phishing por SMS aumentó considerablemente. El tema de la entrega a domicilio es ahora el escenario de smishing más observado.»
Debido al fuerte aumento de la demanda de envíos a domicilio durante los confinamientos, el número de ataques de phishing por SMS aumentó considerablemente. El tema de la entrega a domicilio es ahora el escenario de smishing más observado.
Adrien Gendre, director de tecnología y productos de Vade
Los SMS no son el único medio para estas campañas, ya que ahora se realizan campañas de phishing por WhatsApp. También se distribuyen en los sistemas de mensajería internos de empresa, como Microsoft Teams y Slack. Asimismo ha surgido una variante en forma de voz robótica denominada vishing, es decir, voice phishing, pero no parece haber encontrado su público. En el límite entre el scam y el phishing está la proliferación de cuentas falsas en las redes y de falsos anuncios de empleo que permiten a los ciberdelincuentes embaucar a las víctimas. El mecanismo es sencillo: al descargar una oferta de trabajo que contenía un software espía, a un empleado de la empresa Sky Mavis le robaron el acceso a la blockchain en julio de 2022, permitiendo el robo de 560 millones de euros.
La última innovación es el llamado phishing conocido como Browser-in-the-browser, o ataque en el navegador, una estrategia que muestra una ventana falsa del navegador. Al hacer clic en un botón de inicio de sesión, la víctima cree que está cargando una nueva ventana de autenticación que resulta ser una mera ilusión. El usuario no ha cambiado de ventana y el ciberdelincuente muestra una URL legítima para despistar a la víctima. Sin saberlo, la víctima introduce sus claves en un sitio malicioso. Aunque es muy compleja de detectar, esta última innovación tiene limitaciones en los teléfonos móviles.
A la pregunta, ¿cuál sería el futuro del phishing? Adrien Gendre parece ver una tendencia hacia la automatización: «El phishing estará muy automatizado en un futuro próximo. Con la tecnología de aumento de texto, ahora es posible generar cientos de correos electrónicos con un sentido común, pero utilizando textos completamente diferentes. Por lo tanto, es probable que el phishing pase de ser una masa de ataques despersonalizados a una masa de campañas quirúrgicas en los próximos años.» Una técnica de automatización que parece inspirada en el campo del... SEO, y el algoritmo GPT-3. Ante el uso de estas tecnologías de código abierto, los proveedores de ciberseguridad tendrán que seguir innovando para responder a estos nuevos retos.
