El auge de la dark web, o Internet oscura, ha implicado un gran cambio para los delincuentes. Según las últimas investigaciones, este espacio de Internet, que durante años sirvió de refugio para la compra-venta de drogas, armas, ID falsas y datos confidenciales, es también el lugar en el que encontrar fácilmente kits de phishing avanzados.
Sabemos que el phishing no es un fenómeno de nueva aparición. Esta práctica nació casi a la misma vez que el propio correo electrónico, y siempre ha sido una pieza importante del arsenal de los ciberdelincuentes. A pesar de que los riesgos del phishing son sobradamente conocidos en la actualidad, sigue siendo una de las formas de ciberataque dominantes. De hecho, algunos informes afirman que el 91% de los ciberataques y robos de datos comienzan con un correo electrónico de phishing.
Los estudios conjuntos realizados entre CyberInt y Check Point dibujan ahora una tendencia aún más inquietante. Los nuevos kits a la venta en la dark web podrían permitir a cualquier persona, incluso a usuarios con conocimientos técnicos limitados, poner en marcha su propia estrategia de fraude mediante phishing. La existencia de estas herramientas realmente fáciles de usar podría desembocar en una explosión sin precedentes de ataques de phishing.
Antes de adentrarnos en los pormenores de los nuevos kits de phishing disponibles, merece la pena detenernos unos minutos para recapacitar sobre los devastadores efectos del phishing.
Breve recordatorio sobre phishing
Seguramente estará harto de leer información sobre ataques de phishing y cómo evitarlos. Las guías que explican cómo protegerse frente a este tipo de ataques son un elemento básico de los sitios especializados en seguridad en Internet reputados (y no tan reputados), y hoy en día prácticamente todos sabemos más o menos cómo funciona un ataque de phishing y creemos saber cómo evitarlo.
Dada la gran cantidad de información disponible y el tiempo desde el que los usuarios y las empresas son conscientes de los riesgos del phishing, el verdadero peligro es que esta excesiva familiarización puede hacernos pecar de un exceso de confianza. Lejos de reducirse, los ataques de phishing van en aumento y son cada vez más sofisticados.
Más allá de las desastrosas consecuencias que implica ser víctima del phishing, también conviene recordar que los ataques de phishing acarrean pérdidas millonarias para las PYMEs cada año. Además, los ataques de phishing son ahora más selectivos en cuanto a sus objetivos, y los «spear phishing» –ataques altamente personalizados y habitualmente dirigidos a individuos en cargos de poder– están emergiendo como nueva tendencia.
Phishing para todos
Sin embargo, según CyberInt y Check Point, lo más preocupante de los nuevos kits de phishing es que ponen estas sofisticadas técnicas a disposición de cualquier persona con conocimientos técnicos básicos.
Los kits de phishing están disponibles en la dark web desde hace años, y resultaban relativamente asequibles para los aspirantes a ciberdelincuentes. Un kit normal puede costar entre $20 y $50, y promete capturar datos básicos sobre las víctimas, como contraseñas genéricas u otra información simple que, posteriormente, puede utilizarse para urdir un ataque más sofisticado.
El kit identificado más recientemente es algo totalmente distinto y su precio es bastante más elevado. El creador es un usuario conocido como [A]pache, y proporciona un sitio completo (y de apariencia legítima) desde el cual capturar la información financiera de la víctima. La sofisticación de este software también implica un costo considerablemente más alto, de en torno a los $300.
Y, sin embargo, la recompensa por este precio elevado es impresionante. El kit de phishing permite desarrollar varios sitios web fraudulentos que se parecen bastante a diversos portales de comercio electrónico populares. Aunque los delincuentes se centran principalmente en los sitios de venta minorista de Brasil, también pueden hacerse pasar por empresas como Walmart y otras grandes compañías estadounidenses. Los resultados son realmente buenos:
Fuente de la imagen: https://research.checkpoint.com/a-phishing-kit-investigative-report/
Con la ayuda de este kit, incluso un atacante novato puede desarrollar un sitio web falso y llenarlo de artículos «a la venta». El kit incluye, además, consejos para que los posibles atacantes fijen precios competitivos para los productos y ofrece un panel de «gestión de información de víctimas», en el cual se capturan y almacenan los datos financieros, según explica Check Point.
El éxito de este kit en particular, o de otros similares, está aún por ver. El informe resultante del estudio no indica cuántos kits se han vendido. De hecho, puesto que Check Point también logró realizar un seguimiento de la cuenta del autor en Twitter, cabría esperar que todo el entramado se desmantelara próximamente si se consigue demostrar que [A]pache cometió un delito en Brasil (algo que no parece demasiado fácil).
Sin embargo, sea cual sea el desenlace, la apariencia de este kit de phishing nos hace pensar que este tipo de productos serán muy comunes en los próximos años.
Protéjase
Visto lo visto, ¿cómo puede protegerse?
Si está cansado de leer sobre el phishing en general, probablemente conozca algunas de las estrategias que puede usar para proteger sus datos, a su empresa y a usted mismo. A pesar de la creciente sofisticación de los kits como los de [A]pache, la mejor manera para evitar ataques de phishing sigue siendo básicamente la misma: aprenda a identificar un correo electrónico de phishing., aprenda a identificar un sitio web falso., y plantéese llevar a cabo simulacros de phishing para poner a prueba los conocimientos teóricos.
Más allá de esto, también debe asegurarse de que los sitios que usted supervisa están blindados frente a ataques de phishing. Si el robo de su propia información puede ser un desastre a nivel personal, ser responsable del robo de los datos de sus clientes puede acarrear consecuencias mucho peores, que incluso pueden culminar en sanciones legales. Por este motivo, aprender a proteger a sus clientes frente a ataques de phishing es realmente una necesidad.
En cualquier caso, en un plano más general, lo que estos nuevos kits nos enseñan es que compensa no bajar la guardia frente a nuevos ataques, incluso si estamos algo cansados de leer sobre las mismas técnicas de siempre.
Este material ha sido adaptado de la versión en inglés. Haga clic aquí para leer la versión original.
