WHITE PAPER

El phishing ya no se limita

al correo electrónico:

ahora es social

1El phishing ya no se limita al correo electrónico: ahora es social

Resumen ejecutivoA pesar de los años de publicidad y de los millones de dólares invertidos en formación de empleados, el phishing sigue siendo la mayor amenaza interna a la que se enfrentan las organizaciones.1 Hasta el 93 % de las violaciones de la seguridad de TI son el resultado directo de algún tipo de phishing2 y el 34 % de todos los ataques de phishing se dirigen explícitamente a empresas.3 Los empleados proporcionan sin saberlo información personal y corporativa a agentes malintencionados cada día.

Y ahora, los atacantes están ampliando sus redes.

Ya no se limitan al correo electrónico, los delincuentes explotan las redes sociales más populares, las aplicaciones de mensajería instantánea y los servicios de uso compartido de archivos online. Facebook, Slack, Microsoft Teams, Dropbox, Google Docs y otras plataformas populares sirven como punto de penetración inicial de los delincuentes en la empresa. Estos canales son mucho más personales e invitan al uso compartido y a la distribución generalizada, por lo que el phishing puede propagarse exponencialmente.

Un conjunto de credenciales robadas es todo lo que un delincuente necesita para acceder a la red corporativa, donde puede moverse lateralmente para encontrar y exfiltrar las joyas de la corona de una empresa.

Los controles de seguridad corporativos tradicionales tienen una capacidad limitada para mitigar estos riesgos. Los empleados son móviles y están dispersos geográficamente. Pueden acceder al correo electrónico personal y a las cuentas de redes sociales desde sus dispositivos de trabajo, con una mínima supervisión por parte de los departamentos de TI. Y cuando acceden a las aplicaciones de redes sociales desde dispositivos móviles, están fuera del ámbito de control de la empresa.

Lamentablemente, los sistemas de vigilancia, no pueden hacer más. En cuanto los profesionales de seguridad frenan un tipo de ataque de phishing, surge uno nuevo; es como el juego del gato y el ratón. Los delincuentes son sofisticados, pacientes y tienen claro su objetivo. Buscan formas de burlar las defensas de seguridad existentes en la empresa en todo momento.

Y por si esto fuera poco, los agentes malintencionados pueden comprar fácilmente kits de phishing disponibles en sitios clandestinos. Estos kits de herramientas proporcionan a los estafadores todo lo que necesitan para crear rápidamente páginas web falsas y lanzar campañas maliciosas a través de correo electrónico y redes sociales, todo ello con el objetivo principal de penetrar en la empresa.

Además, cada vez son más los mensajes de correo electrónico de phishing que burlan los sistemas de seguridad específicos de la empresa.4 A pesar de que la mayoría de las empresas modernas probablemente dispongan de sistemas de protección, las puertas de enlace y los filtros distan de ser perfectos. Independientemente de su eficacia, no es recomendable confiar en una sola capa defensiva contra estos ataques desenfrenados.

Ayer

Hoy

2El phishing ya no se limita al correo electrónico: ahora es social

Ante estos retos, las empresas de hoy en día necesitan un nuevo enfoque para la seguridad empresarial. En concreto, su mentalidad debe basarse en el modelo Zero Trust: no confiar en nada, verificar todo y mantener unos controles coherentes. Todas las solicitudes de acceso se deben autenticar y autorizar, y el acceso debe otorgarse solo de forma transitoria.

Una protección avanzada frente a amenazas basada en la nube y en tiempo real es fundamental para esta transformación de la seguridad. Permitirá a la empresa seguir el ritmo del panorama actual de amenazas en constante evolución, incluidos los fenómenos de phishing social que exploramos en este white paper.

El impacto empresarial del phishingOrganizaciones de todo el mundo afirman que los esquemas de phishing son la principal fuente de violación de la seguridad empresarial. Hasta el 93 % son el resultado directo de alguna forma de phishing.5

La presencia y eficacia del phishing es asombrosa:

• 1 de cada 99 correos electrónicos es un ataque de phishing que utiliza enlaces y archivos adjuntos maliciosos como vector principal.6

• El 52 % de los ataques de correo electrónico que tienen éxito consigue que sus víctimas hagan clic en menos de una hora y el 30 % en menos de 10 minutos.7

• Cada mes se crean casi 1,5 millones de nuevos sitios de phishing.8

• El 83 % de los profesionales de InfoSec experimentó ataques de phishing en 2018.9

Estos datos no deberían sorprender a nadie. Para un ciberdelincuente es mucho más fácil acceder a la red corporativa con la información robada de un empleado que hackear la empresa. Un conjunto de credenciales es todo lo que necesita un atacante para acceder y abrirse paso. Esta entrada inicial conduce rápidamente al movimiento lateral, a la identificación de los recursos más valiosos y, por último, a la exfiltración.

El impacto es considerable:

• El coste medio de un ataque de phishing para una empresa mediana es de 1,6 millones de dólares.10

• 1 de cada 3 clientes dejará de hacer negocios con una empresa que experimente una violación de ciberseguridad.11

3El phishing ya no se limita al correo electrónico: ahora es social

Phishing social: mayor radio de alcanceLas redes sociales, las aplicaciones de mensajería y los servicios de uso compartido de archivos dependen de cierto nivel de confianza. Esto convierte a las redes sociales en vectores de ataque perfectos. Los usuarios maliciosos aprovechan la sensación de confianza y comunidad que generan estas plataformas para engañar a los usuarios y hacer que difundan contenido malintencionado. El número de estafas de phishing en las redes sociales ha aumentado más del 70 % en el primer trimestre de 2019.12

Una práctica común en el ciclo de vida de una estafa de phishing consiste en incluir un paso en el que la víctima debe compartir un enlace (la URL del sitio web falso o en peligro) en sus redes sociales. Dado que el enlace procede de un contacto conocido o de confianza, las conexiones sociales de la víctima pronto caen también en la trampa. Y la confianza puesta en un sitio peligroso se propaga.

En su white paper "La nueva era del phishing: juegos, redes sociales y premios", Or Katz, experto en seguridad de Akamai, examina cómo las campañas de phishing social aprovechan concursos y premios para colocar enlaces maliciosos.13 Premios y promociones falsos se enmascaran como oportunidades reales, lo que fomenta su distribución, creando entornos que llevan a los objetivos a revelar información personal y corporativa.

A medida que las redes sociales crecen en número y popularidad, los atacantes tienen más vías para llegar a sus víctimas.

Forbes informa de que los delincuentes ahora utilizan servicios de mensajería instantánea como Slack, Skype, Microsoft Teams y Facebook Messenger para conseguir nuevas víctimas y ampliar sus campañas.14 Estos esquemas centrados en las relaciones sociales utilizan muchos de los métodos del phishing por correo electrónico: suplantación, abuso de la confianza implícita y enlaces maliciosos, pero se lanzan a través de estas plataformas de comunicación de última generación.

Según CSO, cada vez más son más los delincuentes que lanzan sus ataques de phishing a través de herramientas de colaboración y de uso compartido de archivos online, como Microsoft OneDrive, Google Docs, SharePoint, WeTransfer, Dropbox y ShareFile.15 En ocasiones, los archivos contienen el malware. A veces, forman parte de un esquema de phishing más amplio destinado a transportar y alojar imágenes, documentos y materiales adicionales que podrían ayudar a legitimar el esquema ante sus objetivos y los filtros de correo electrónico corporativos.

Los usuarios de redes sociales ficticios son otro elemento de estos ataques. Aparecen en un sitio web como complemento integrado de las redes sociales y, a menudo, proporcionan testimonios. Lo que ven las víctimas realmente es código JavaScript incrustado en un sitio de phishing falso que presenta cuentas de redes sociales generadas previamente. Estas identidades falsas se convierten en la prueba de que otras personas han ganado premios, que realmente no existen. Esto fomenta la participación y aumenta la expansión del esquema.

Los juegos y premios falsos son trampas habituales.

4El phishing ya no se limita al correo electrónico: ahora es social

Las campañas de phishing social lanzadas específicamente a través de dispositivos móviles son especialmente difíciles de mitigar. Además de las reconocidas deficiencias de seguridad de los dispositivos móviles, la interfaz de usuario móvil no tiene la profundidad de detalle necesaria para identificar ataques de phishing, como la posibilidad de pasar el puntero sobre hipervínculos para mostrar el destino. Como resultado, los usuarios móviles tienen tres veces más probabilidades de sufrir estafas de phishing.16

Los atacantes siguen desarrollando tácticas de phishingLos delincuentes modernos son persistentes y utilizan actividades específicas y variopintas para burlar las defensas de seguridad empresarial. La protección contra sus campañas de phishing es una batalla en constante evolución. En cuanto los profesionales de la seguridad frustran un asalto, los actores maliciosos reaccionan y ajustan su técnica.

Un ejemplo reciente fue el siguiente: los atacantes encontraron una vulnerabilidad que les permitió evitar los protocolos de seguridad de correo electrónico existentes de Microsoft Office 365. Ocultaron la URL de phishing incrustando en ella caracteres de ancho cero. Esto permitió que los correos electrónicos robados evitaran la comprobación de la reputación de la URL de Microsoft y la protección de URL de vínculos seguros.17 Los usuarios recibieron el correo electrónico con el enlace de phishing intacto, en lugar del vínculo alojado en Microsoft que lo debería haber sustituido.

En su reciente informe sobre tendencias de phishing Phishing Activity Trends Report, el Grupo de Trabajo Antiphishing (APWG) observó un crecimiento en el uso de la redirección de URL. Los atacantes colocan redirectores antes de la página de destino del sitio de phishing y después de enviar las credenciales. Esto ayuda a evitar la detección de la URL de phishing a través de la supervisión del campo de origen de referencia del registro del servidor web.18

Otros ejemplos de phishing evolutivo e inventivo son los siguientes:

• La industrialización del phishing debido a la creciente popularidad de los kits de phishing disponibles de manera comercial.

• El uso de Google Translate para ocultar una URL vinculada a un falso sitio de extracción de credenciales de Google.19

• El uso del cifrado SSL en una página web de phishing para aumentar la credibilidad de un correo electrónico de phishing.20

Los esquemas de ataque a través de correos electrónicos de empresa (BEC) también están en aumento. Los delincuentes envían correos electrónicos de phishing procedentes de cuentas de confianza robadas (a menudo, cuentas de Microsoft Office 365). Dado que los remitentes son reales, los filtros no bloquean estas comunicaciones. Estas estafas aumentaron un 476 % entre el cuarto trimestre de 2017 y el cuarto trimestre de 2018,21 lo que generó pérdidas por valor de 1200 millones de dólares en 2018.22

Las herramientas empresariales legítimas son un objetivo de

ataque cada vez más recurrente.

5El phishing ya no se limita al correo electrónico: ahora es social

Kits de phishing: la industrialización del phishingLos kits de phishing, elaborados a gran escala y a partir de plantillas, facilitan más que nunca la creación y el lanzamiento de campañas maliciosas con rapidez. Estos kits, que se venden de forma clandestina en Internet, suelen proporcionar a los estafadores todo lo que necesitan para lanzar ataques dañinos: herramientas de diseño web y gráficos, contenido de marcadores de posición y correo electrónico masivo u otro software de distribución.

Steve Ragan, experto en seguridad de Akamai, describe estos kits de herramientas en su artículo para CSO:

Hay decenas de miles de estos kits disponibles actualmente. Los delincuentes los desarrollan mediante una combinación de HTML y PHP básicos, y los almacenan en servidores web vulnerados. Los programas suelen tener una vida de solo 36 horas antes de su detección y eliminación.

En un principio, los ciberdelincuentes ofrecían kits de phishing para su venta, pero ahora cada vez más se ofrecen de forma gratuita. Sin embargo, estos kits de phishing "gratuitos" a menudo ocultan a los autores de los kits de herramientas como receptores implícitos, lo que significa que la información obtenida mediante phishing no solo la captura el comprador del kit de herramientas, sino también el creador original.24 Como suele decirse, no hay honor entre ladrones.

Los investigadores de Akamai realizaron recientemente un seguimiento de la actividad de más de 300 campañas de phishing que utilizaron el mismo kit de phishing para abusar de más de 40 marcas comerciales.25 Cada estafa comenzó con un cuestionario de tres preguntas relacionado con una marca reconocida. Independientemente de la respuesta seleccionada, la víctima siempre "gana".

Puesto que estas campañas de phishing se basan en el mismo kit de herramientas, comparten funciones y características, como se muestra en la imagen de la derecha.

Son el componente web o el back-end de un ataque de phishing. En la mayoría de los casos es el último paso, en el que el delincuente ha replicado una marca u organización conocida. Una vez cargado, el kit está diseñado para reproducir sitios web legítimos, como los que mantienen Microsoft, Apple o Google."23

6El phishing ya no se limita al correo electrónico: ahora es social

Estas campañas basadas en herramientas aprovechan la reputación de confianza de marcas conocidas. Aunque tienen orígenes y características similares, cada una de ellas se personalizó fácilmente para contener diferentes preguntas de cuestionario en varios idiomas. Muchas de las marcas perjudicadas eran líneas aéreas, pero el abuso es generalizado. Los delincuentes también suelen suplantar marcas de retail, negocios de decoración del hogar, parques de atracciones, cadenas de comida rápida, restaurantes y cafeterías.

Muchas de estas páginas falsas creadas mediante el kit de phishing están dirigidas a los consumidores que, de forma inconsciente, trasladan el ataque a su red corporativa. Por otro lado, los kits que se dirigen explícitamente a los usuarios empresariales también están disponibles de forma generalizada. Estos kits de herramientas se utilizaron para crear páginas falsas de inicio de sesión de Microsoft Office 365 y SharePoint como las siguientes:

¿Qué ocurre con los filtros de correo electrónico y las puertas de enlace?Por lo general, las empresas cuentan con algún tipo de filtrado de correo electrónico, ya sea como servicio dedicado o como complemento de Microsoft Office 365 o Google G Suite. Estos productos funcionan de manera aceptable al mantener los correos electrónicos tradicionales de spam, phishing y maliciosos lejos de las bandejas de entrada de los usuarios. Pero no son en absoluto infalibles.

En su informe más reciente sobre los riesgos de seguridad del correo electrónico Email Security Risk Assessment, la empresa de gestión de correo electrónico Mimecast informa de que las comunicaciones vulneradas están burlando los actuales sistemas de seguridad del correo electrónico cada vez con más frecuencia. Se detectaron 463 546 URL maliciosas en 28 407 664 correos electrónicos entregados. En otras palabras, 1 de cada 61 correos electrónicos de phishing llega al destinatario previsto.26

La facilidad y rentabilidad de los kits de phishing, así como la proliferación que proporcionan las redes sociales, permiten a los ciberdelincuentes crear y hacer circular campañas de phishing de corta duración con gran éxito. El equipo de investigación de amenazas de Akamai ha determinado que estos ataques de corta duración suponen un conjunto único de nuevos desafíos.

6

7El phishing ya no se limita al correo electrónico: ahora es social

El tráfico debe llegar al dominio de phishing y mostrar un cambio de comportamiento para poder identificarlo. Cuando los equipos de seguridad observan este tráfico malicioso, analizan la URL, la añaden a una lista de amenazas y envían la lista de amenazas actualizada a los clientes, la campaña de phishing ya ha terminado. Ya se ha ejecutado por completo y la URL maliciosa se ha desactivado, probablemente por parte de los delincuentes o quizás por el propietario legítimo del sitio que alojó la URL afectada.

Esta brecha en la detección supone una amenaza significativa para las empresas.

La era de la itinerancia entre dispositivos corporativos y la iniciativa "traiga su propio dispositivo" (BYOD) presenta otra debilidad más. Una plantilla móvil y distribuida geográficamente implica que los mecanismos de seguridad empresarial tradicionales son cada vez más insuficientes. Los dispositivos personales que entran y salen del perímetro de la empresa pueden acceder a cuentas de correo electrónico privadas no protegidas por las puertas de enlace de correo electrónico y los filtros de la empresa. A medida que se desvanece la línea entre los dispositivos profesionales y personales y el acceso, esta amenaza no hace más que empeorar.

Tráfi

co a

UR

L

Tiempo

URL creada Comienza la campaña de phishing

T = días/meses T = horas

URL desactivada

URL detectada

URL agregada a la lista negra

Los empleados que son objeto de campañas de phishing u otras estafas de atacantes son las amenazas internas más peligrosas.27

Empleados inocentes engañados Empleados que combinan trabajo y uso personal

26 %42 %

8El phishing ya no se limita al correo electrónico: ahora es social

Y, como ya se ha comentado anteriormente, el correo electrónico no es la única forma de iniciar un ataque de phishing y distribuir enlaces maliciosos.

Para detectar, bloquear y mitigar estos sofisticados ataques de phishing, las organizaciones necesitan una capa adicional de defensa que analice todo el tráfico de todos los dispositivos de la red.

ConclusiónEl panorama del phishing ha evolucionado. Los kits de phishing industrializados, así como el uso de redes sociales y otros canales de distribución diferentes al correo electrónico, son la nueva norma. Esta alarmante tendencia se agrava aún más porque los dispositivos son itinerantes y los usuarios acceden a las aplicaciones de redes sociales y mensajería a través de dispositivos móviles, que a menudo son el enlace más débil de la estructura de seguridad de una empresa.

Para poder defenderse con éxito, las empresas modernas deben adoptar un modelo Zero Trust. El lema de seguridad de la empresa debería ser: no confiar en nada, verificar todo y mantener unos controles coherentes. Las empresas deben autenticar y autorizar cada solicitud de acceso individual y, a continuación, otorgar acceso solo de forma transitoria.

Las soluciones de seguridad basadas en la nube se encuentran en una posición única para implementar un marco Zero Trust, ya que pueden supervisar toda la actividad de la red empresarial, independientemente del tipo de dispositivo o del origen de una solicitud. Cuentan con visibilidad de fuentes colectivas: agregan tráfico dispar de ámbito limitado y crean perspectivas globales en tiempo real. Estas soluciones utilizan patrones de todo el ámbito de Internet para lograr una conciencia de las amenazas más completa.

Gracias a la observación del impacto de las campañas de phishing en varias empresas, la protección basada en la nube puede identificar tendencias que una única empresa no podría detectar.

Akamai Enterprise Threat ProtectorLa solución Enterprise Threat Protector de Akamai identifica, bloquea y mitiga de forma proactiva las amenazas dirigidas derivadas de campañas de phishing, kits de phishing, malware, ransomware, exfiltración de datos de sistema de nombres de dominio (DNS) y ataques avanzados de día cero. Enterprise Threat Protector de Akamai es una puerta de enlace de Internet segura que permite a los equipos de seguridad garantizar que los usuarios y los dispositivos puedan conectarse a Internet de forma segura, estén donde estén y sin las complejidades asociadas a otros enfoques heredados.

Para obtener más información sobre Enterprise Threat Protector y una prueba gratuita, visite akamai.com/etp.

Más información

9El phishing ya no se limita al correo electrónico: ahora es social

Akamai garantiza experiencias digitales seguras a las empresas más importantes del mundo. La plataforma perimetral inteligente de Akamai llega a todas partes, desde la empresa a la nube, para garantizar a nuestros clientes y a sus negocios la máxima eficacia, rapidez y seguridad. Las mejores marcas del mundo confían en Akamai para lograr su ventaja competitiva gracias a soluciones ágiles que permiten destapar todo el potencial de sus arquitecturas multinube. En Akamai mantenemos las decisiones, las aplicaciones y las experiencias más cerca de los usuarios que nadie; y los ataques y las amenazas, a raya. La cartera de soluciones de seguridad perimetral, rendimiento web y móvil, acceso empresarial y distribución de vídeo de Akamai está respaldada por un servicio de atención al cliente y análisis excepcional, y por una supervisión ininterrumpida, durante todo el año. Para descubrir por qué las marcas más importantes del mundo confían en Akamai, visite akamai.com o blogs.akamai.com, o siga a @Akamai en Twitter. Puede encontrar los datos de contacto de todas nuestras oficinas en akamai.com/locations. Publicado en agosto de 2019.

FUENTES 1) https://nakedsecurity.sophos.com/2018/10/23/phishing-is-still-the-most-commonly-used-attack-on-organizations-survey-says/

2) 2018 Data Breach Investigations Report, https://enterprise.verizon.com/resources/reports/dbir/

3) Investigación interna de Akamai

4) "Email Security Risk Assessment", Quarterly Report, Mimecast, marzo de 2019 https://www.mimecast.com/globalassets/documents/whitepapers/esra-white-paper-

march-2019-v3.pdf

5) 2018 Data Breach Investigations Report, https://enterprise.verizon.com/resources/reports/dbir/

6) 2019 Global Phish Report de Avanan, https://www.avanan.com/global-phish-report

7) The Human Factor 2018 Report, https://www.proofpoint.com/sites/default/files/gtd-pfpt-us-wp-human-factor-report-2018-180425.pdf

8) https://www.webroot.com/us/en/about/press-room/releases/nearly-15-million-new-phishing-sites

9) 2019 State of the Phish Report, https://info.wombatsecurity.com/hubfs/Wombat_Proofpoint_2019%20State%20of%20the%20Phish%20Report_Final.pdf

10) Enterprise Phishing Resiliency and Defense Report, https://cofense.com/wp-content/uploads/2017/11/Enterprise-Phishing-Resiliency-and-Defense-Report-2017.pdf

11) https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/consumer-business/deloitte-uk-consumer-review-nov-2015.pdf

12) https://betanews.com/2019/05/02/social-media-phishing/

13) "La nueva era del phishing: juegos, redes sociales y premios" de Or Katz, Akamai https://www.akamai.com/es/es/multimedia/documents/report/a-new-era-in-phishing-

research-paper.pdf

14) "Four Phishing Attack Trends To Look Out For In 2019" de Michael Landewe, Avanan https://www.forbes.com/sites/forbestechcouncil/2019/01/10/four-phishing-attack-

trends-to-look-out-for-in-2019/#6a9fd5034ec2

15) "Cybercriminals Impersonate Popular File Sharing Services to Take Over Email Accounts" de Asaf Cidon, CSO https://www.csoonline.com/article/3274546/

cybercriminals-impersonate-popular-file-sharing-services-to-take-over-email-accounts.html

16) 2018 Mobile Phishing Report, https://info.lookout.com/rs/051-ESQ-475/images/Lookout-Phishing-wp-us.pdf

17) "Z-WASP Vulnerability Used to Phish Office 365 and ATP" de Yoav Nathaniel, Avanan https://www.avanan.com/resources/zwasp-microsoft-office-365-phishing-

vulnerability

18) "Phishing Activity Trends Report" del Grupo de Trabajo Antiphising (APWG) http://docs.apwg.org/reports/apwg_trends_report_q3_2018.pdf

19) "Ataques de phishing contra Facebook y Google mediante Google Translate" de Larry Cashdollar https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-

facebook-google-via-google-translate.html

20) "Phishing Activity Trends Reports" del Grupo de Trabajo Antiphising (APWG) http://docs.apwg.org/reports/apwg_trends_report_q3_2018.pdf

21) https://www.bleepingcomputer.com/news/security/business-email-compromise-attacks-see-almost-500-percent-increase/

22) "2018 Internet Crime Report" del Federal Bureau of Investigation, International Crime Compliant Center https://www.ic3.gov/media/annualreport/2018_IC3Report.pdf

23) "What Are Phishing Kits? Web Components of Phishing Attacks Explained" de Steve Ragan, CSO https://www.csoonline.com/article/3290417/csos-guide-to-phishing-

and-phishing-kits.html

24) Investigación interna de Akamai

25) "Phishing en cuestionarios: una trampa, 78 variaciones" de Or Katz, Akamai https://blogs.akamai.com/sitr/2018/12/quiz-phishing-one-scam-78-variations.html

26) "Email Security Risk Assessment", Quarterly Report, Mimecast, marzo de 2019 https://www.mimecast.com/globalassets/documents/whitepapers/esra-white-paper-

march-2019-v3.pdf

27) https://www.idg.com/tools-for-marketers/2018-u-s-state-of-cybercrime/