ESET advierte sobre la evolución del phishing dinámico y cómo protegerse

El phishing sigue siendo una de las principales amenazas digitales, pero su evolución ha permitido que los ciberdelincuentes perfeccionen sus estrategias de engaño. ESET, empresa líder en ciberseguridad, ha detectado una nueva campaña de phishing dinámico, una técnica que personaliza los ataques para hacerlos más difíciles de detectar.

¿Qué es el Phishing Dinámico y por qué es más peligroso?

A diferencia del phishing tradicional, donde los atacantes crean copias genéricas de sitios web legítimos, el phishing dinámico emplea servicios externos para importar logotipos y personalizar páginas de inicio de sesión falsas en tiempo real. Esto significa que cada ataque parece más auténtico, ya que muestra elementos visuales que el usuario asocia con la empresa objetivo.

Cuando la víctima accede al enlace fraudulento, el sitio precarga automáticamente su correo electrónico en el formulario de inicio de sesión, dando la impresión de que ha iniciado sesión antes. Al ingresar su contraseña, los datos se envían inmediatamente a los atacantes mediante una solicitud AJAX, redirigiéndola luego al sitio web legítimo. Este proceso sofisticado reduce las sospechas del usuario y evita una rápida detección.

Cómo los ciberdelincuentes logran que el Phishing Dinámico pase desapercibido

• Personalización en tiempo real: La apariencia del sitio se adapta a cualquier organización objetivo, utilizando logotipos de servicios públicos.
• Mayor dificultad para la detección: Al usar elementos visuales de empresas legítimas, los filtros de seguridad tradicionales tienen problemas para bloquear estos ataques.
• Alojamiento en plataformas confiables: Los atacantes utilizan servicios como Firebase, Oracle Cloud y GitHub, dificultando la identificación y eliminación de estos sitios fraudulentos.
• Redirecciones abiertas: Muchos servicios en línea permiten enlaces en dominios confiables, lo que facilita ocultar contenido malicioso.

Recomendaciones de ESET para prevenir el Phishing Dinámico

Para evitar caer en estos ataques cada vez más sofisticados, ESET recomienda:

• Activar la autenticación multifactor (MFA): Esta medida agrega una capa de seguridad adicional, evitando que los atacantes puedan acceder a cuentas con credenciales robadas.
• Evitar hacer clic en enlaces sospechosos: Verificar siempre la autenticidad del remitente antes de ingresar datos personales en cualquier sitio web.
• Mantener sistemas de seguridad actualizados: Contar con software de seguridad robusto puede detectar y bloquear amenazas antes de que afecten al usuario.
• Educar a los empleados y usuarios sobre ciberseguridad: Los ciberdelincuentes se aprovechan del desconocimiento, por lo que es clave capacitar a las personas sobre cómo identificar ataques de phishing.

El phishing dinámico es un claro ejemplo de cómo los ciberdelincuentes continúan perfeccionando sus tácticas para evadir controles de seguridad. La vigilancia constante y la implementación de mejores prácticas son esenciales para protegerse contra este tipo de amenazas digitales.