Phishing como servicio (PhaaS)

Aunque lucrativa, la ciberdelincuencia tiene una alta barrera de entrada. En el pasado, los piratas informáticos necesitaban conocimientos y habilidades para desarrollar sus ataques desde cero. Sin embargo, en los últimos tiempos, estas barreras técnicas son cosa del pasado con el auge del sector clandestino del phishing como servicio. Ahora cualquiera puede convertirse en un ciberdelincuente con el clic de un botón si sabe dónde buscar y cuánto quiere gastar.

El phishing puede ser el primer paso de un sofisticado esquema de robo de datos, y sigue siendo una táctica popular por una simple razón: funciona. Ha existido durante mucho tiempo, pero los ciberdelincuentes de hoy en día saben cómo utilizarlo de muchas maneras.

Según las estadísticas del FBI, el phishing y sus variantes fueron el tercer delito cibernético cibercrimen en 2017, lo que supuso unos 30 millones de dólares en daños. Los ataques de phishing aumentaron significativamente en 2019. Los correos electrónicos de phishing fueron un punto de entrada principal para el ransomware en 2020, representando hasta el 54% de todas las vulnerabilidades digitales. El mal comportamiento de los usuarios y la falta de formación en ciberseguridad y de protocolos de autenticación reforzados fueron factores cruciales que contribuyeron a estas alarmantes estadísticas.

Aprenda a mitigar "no se ha encontrado ningún registro DMARC"aquí.

¿Qué es el phishing como servicio (PhaaS)?

El phishing como servicio (PhaaS) es un tipo de ciberdelincuencia organizada en la que los delincuentes ofrecen a través de la web servicios de phishing a otros a cambio de dinero. El phishing es una variante de fraude por correo electrónico en la que los delincuentes envían mensajes haciéndose pasar por una empresa legítima para engañar a las personas y hacer que les den información personal, como datos bancarios o contraseñas. Los proveedores de phaaS suelen crear sitios web y páginas de aterrizaje falsas que parecen reales, lo que hace aún más difícil que la gente detecte la estafa. 

El phishing como servicio es cada vez más sofisticado, y los proveedores de phaaS a menudo pueden eludir las medidas de seguridad, como la autenticación de dos factores del correo electrónico. En consecuencia, el phishing como servicio es un problema creciente del que las empresas deben ser conscientes. Hay medidas que las empresas pueden tomar para protegerse contra él, como la formación de los empleados sobre cómo detectar los correos electrónicos de phishing, el uso de softwares antiphishing y la implementación de protocolos de autenticación de correo electrónico. Sin embargo, como los proveedores de phishing como servicio son cada vez más astutos, las empresas deben estar constantemente atentas para protegerse.

¿Por qué es un problema el phishing como servicio?

Para muchas empresas, la proliferación de PhaaS es un peligro. El phishing es ya un problema de seguridad importante; según Egress, el 73% de las empresas han sido objeto de ataques de phishing con éxito en el año anterior. La monetización de los kits de phishing sólo va a agravar la situación.

El phishing como servicio es un problema, ya que reduce la barrera del phishing. 

PhaaS ha inspirado a una nueva generación de ciberdelincuentes a probar suerte con el phishing al reducir los obstáculos de entrada, y el retorno de la inversión para ellos es enorme. Para enviar un correo electrónico eficaz, un ciberdelincuente suele necesitar saber HTML. También necesita saber cómo crear un sitio web que parezca auténtico, incluso mientras roba credenciales. Si alguien adquiere un kit de phishing, estos conocimientos no son necesarios para llevar a cabo un asalto de phishing. Hay muy poco tiempo entre la concepción de un ataque y su "realización".

Incluso las personas que ya están ejecutando asaltos de phishing pueden beneficiarse de PhaaS. Y es que la capacidad de los autores suele limitar el éxito de una campaña de phishing. Pero más personas caerán en sus ataques si compran un kit de phishing.

PhaaS también hace más difícil perseguir los intentos de phishing.

Permite a las personas expertas en la creación de kits de phishing ganar con el negocio sin realizar ningún asalto de phishing. Si el usuario de un kit de phishing es capturado, es poco probable que la persona que lo vendió se enfrente a cargos. Así, el ciberdelincuente real puede seguir vendiendo kits similares a otras personas.

¿Cómo mitigar la amenaza del phishing?

El phishing, aunque es un viejo truco, seguirá engañando a los usuarios, pero puede mantenerse a salvo aplicando las siguientes prácticas recomendadas:

Formar a sus empleados

Además de educar a sus empleados sobre el phishing, es esencial contar con sistemas que puedan proteger a su empresa si un empleado cae en una estafa de phishing. Por ejemplo, debería considerar el uso de un filtro de spam para bloquear los correos electrónicos sospechosos que lleguen a las bandejas de entrada de sus empleados. También debe tener un proceso para informar de los correos electrónicos sospechosos para que puedan ser investigados. Tomar estas precauciones puede ayudar a mantener su empresa a salvo de los ataques de phishing.

No haga nunca clic en enlaces sospechosos

En primer lugar, desconfíe de cualquier correo electrónico o mensaje de texto no solicitado que afirme proceder de una organización de confianza. Incluso si el mensaje parece provenir de una empresa conocida, nunca haga clic en los enlaces o archivos adjuntos a menos que esté seguro de que son seguros. Si no está seguro, vaya directamente al sitio web de la organización en lugar de hacer clic en los enlaces del mensaje.

Mantenga su software antivirus actualizado

Un software antivirus puede detectar y bloquear los ataques de phishing, pero sólo si está actualizado. Un software anticuado puede no reconocer las últimas estafas de phishing, dejándole vulnerable a los mismos ataques. Por lo tanto, compruebe regularmente su software antivirus para asegurarse de que está actualizado y funciona correctamente. Además, no olvide mantener actualizado el resto del software, como el sistema operativo y el navegador web.

Por último, tenga cuidado al dar información personal en línea. Los phishers pueden hacerse pasar por empresas legítimas para engañarle y hacerle revelar información sensible. Por tanto, sólo debes proporcionar tu información personal a sitios web de confianza.

Utilice DMARC para autenticar sus correos electrónicos 

Los correos electrónicos de phishing pueden mantenerse fuera de la bandeja de entrada gracias a los filtros de spam del correo electrónico, pero los hackers intentan continuamente saltarse estos filtros. No hay ningún canal con un alcance más enorme que el correo electrónico, que cuenta con unos 5.000 millones de cuentas en todo el mundo. Por ello, los atacantes prefieren utilizar el correo electrónico como vía para sus intenciones dañinas.

Aquí es donde DMARC interviene para resolver los problemas que los filtros de spam no pueden. 

DMARC ha sido diseñado para combatir la suplantación de identidad y los ataques de phishing por correo electrónico que son resultado de la falsificación de dominios empresariales. DMARC no sólo le ofrece una visibilidad completa de sus canales de correo electrónico, sino que también hace evidentes los ataques de phishing. A través de la supervisión constante y la verificación de la fuente, puede reducir el impacto de los ataques de phishing, prevenir la suplantación de identidad, proteger contra el abuso de la marca y las estafas, y evitar que el correo electrónico empresarial se vea comprometido.

Las organizaciones que no están familiarizadas con los detalles de la implementación o que quieren ahorrar tiempo y esfuerzo de implementación pueden utilizar nuestro Analizador DMARC para agilizar su proceso de implantación.

La creación de un registro DMARC para su dominio puede proteger su marca y a sus clientes de los ataques de phishing.

Un registro DMARC contiene cuatro componentes clave:

  • Política DMARC
  • Alineación del FPS
  • Alineación DKIM
  • Opciones de información

El sitio web política DMARC especifica cómo deben tratarse los correos electrónicos entrantes en caso de que falle el DMARC. La alineación SPF garantiza que los correos electrónicos enviados sólo desde direcciones IP autorizadas pasen las comprobaciones de DMARC. La alineación DKIM verifica el dominio de firma de un correo electrónico. Opciones de informes especifican dónde deben enviarse los informes DMARC.

Palabras finales

Tanto los particulares como las empresas son vulnerables al phishing. Esto lleva a la piratería de cuentas personales y a la infiltración en la red de la empresa. Además, el phishing como servicio agrava este problema al permitir que cualquier persona, independientemente de su nivel de conocimientos, lleve a cabo estos ataques.

PhaaS no sólo aumenta la frecuencia de los ataques de phishing, sino que también hace que cada asalto sea potencialmente más exitoso. Pero la buena noticia es que hay una forma de reducir el golpe. El equipo de PowerDMARC puede ayudarle en cada paso de su viaje de implementación de DMARC para construir sus defensas contra el phishing como servicio más rápido que cualquier otra solución que exista. Haga una prueba gratuita de DMARC hoy mismo para experimentarlo usted mismo.

Últimas publicaciones de Ahona Rudra (ver todas)