logo SOS Ransomware
Emergencia 24/7

Autopsia de un ataque de phishing, explosión de intentos en 2024

Los ataques de phishing son una de las amenazas más graves para la ciberseguridad en la actualidad. La constante evolución de las técnicas utilizadas por los ciberdelincuentes hace que estos ataques sean cada vez más difíciles de detectar. Elreciente análisis llevado a cabo por el equipo MDDR de Varonis ilustra claramente esta realidad: cada detalle, desde el diseño de los mensajes hasta la ocultación de rastros, hace que la situación sea cada vez más compleja.

Detección inicial del ataque

La detección de este ataque de phishing comenzó con una anomalía en la cuenta de correo electrónico de un alto directivo de una compañía de seguros con sede en el Reino Unido. Se había creado una regla de borrado inusual, titulada «a», para eliminar permanentemente todos los correos electrónicos que contuvieran una palabra clave específica relacionada con el dominio del remitente. Esta regla se creó desde una dirección IP de Estados Unidos, una ubicación que no se correspondía con las operaciones normales de la empresa. Este primer indicio despertó inmediatamente las sospechas de los equipos de seguridad.

El análisis reveló que la palabra clave apuntada en la regla de supresión correspondía al dominio del remitente del phishing. Esta configuración permitía al atacante borrar automáticamente todos los correos electrónicos enviados desde o hacia este dominio, lo que dificultaba la detección de la intrusión. El hecho de que esta acción se llevara a cabo desde una dirección IP asociada a Microsoft complicó aún más la investigación, dificultando la rápida identificación del responsable. Este tipo de técnica pone de manifiesto hasta qué punto los atacantes utilizan métodos sofisticados para cubrir sus huellas sin dejar de estar dentro de los límites de la actividad aparente de la red.

Las primeras etapas de un ataque de phishing

El éxito de un ataque de phishing depende de una cuidadosa ingeniería social y de complejos mecanismos técnicos. En este caso, los ciberdelincuentes enviaron un correo electrónico fraudulento titulado «ML Payment #05323» a 26 empleados de una compañía de seguros. El correo electrónico parecía proceder del director general de una gran compañía naviera internacional, cuyacuenta de correo electrónico había sido comprometida. Esta suplantación creíble aumentaba la probabilidad de que los destinatarios desprevenidos abrieran el mensaje.

Mail initial de l'attaque de phishing
Correo electrónico de phishing inicial con enlace a un archivo pdf – Fuente Varonis

En lugar de adjuntar un archivo PDF convencional, los atacantes insertaron un enlace a un documento alojado en un servidor de AWS, dando la apariencia de un mensaje oficial de Microsoft OneDrive. Una vez pulsado, este enlace redirigía a una página falsa de autenticación de Microsoft titulada «login.siffinance[.]com». Las víctimas que introducían sus credenciales en esta página permitían a los atacantes obtener acceso inmediato a sus cuentas. Una discreta redirección al sitio oficial de Microsoft reforzaba aún más la ilusión de que no había ocurrido nada inusual.

Los delincuentes llegaron a utilizar la plataforma legítima Render para alojar ciertos elementos técnicos de su ataque, lo que les permitió eludir los sistemas de seguridad estándar. Este uso de servicios de confianza es una característica clave de los ataques de phishing modernos, diseñados para evadir el radar de las soluciones de detección automática.

Shéma de l’attaque de phishing
Esquema de un ataque de phishing – Fuente Varonis

Técnicas avanzadas utilizadas por los atacantes

Los ciberdelincuentes que están detrás de este ataque han demostrado un gran ingenio explotando diversas técnicas sofisticadas para maximizar sus posibilidades de éxito sin ser detectados.

He aquí un resumen de los métodos utilizados:

  • Dirección del remitente fiable: el correo electrónico fraudulento parecía proceder de una dirección conocida y creíble, lo que redujo las sospechas de los destinatarios.
  • Uso de plataformas legítimas: el PDF malicioso estaba alojado en AWS, y partes del ataque utilizaban Render, servicios de confianza que permiten eludir los filtros de seguridad del correo electrónico.
  • Técnica dela muñeca r usa: una compleja cadena de redirecciones, en la que cada enlace llevaba a una página aparentemente legítima, dificultaba la detección por parte de los sistemas de seguridad.

La técnica de la muñeca rusa: un método formidable

En el contexto del phishing, este método consiste en una serie de redireccionamientos a través de plataformas legítimas antes de llegar a la página final de phishing. Funciona de la siguiente manera

  1. Primera capa: el correo electrónico de phishing contiene un enlace que parece legítimo y conduce a una plataforma reconocida, como Google Drive o Dropbox. Estas plataformas suelen utilizarse para alojar un documento o archivo.
  2. Segunda capa: este documento o archivo contiene otro enlace o instrucciones para acceder a otro sitio o servicio. Por ejemplo, el documento puede pedir al usuario que haga clic en un enlace para ver más detalles.
  3. Tercera capa y siguientes: cada redirección posterior conduce a otro sitio o servicio legítimo, lo que refuerza la impresión de seguridad para el usuario.
  4. Página final de phishing: tras varios pasos, el usuario llega a una página de phishing diseñada para parecer una interfaz de inicio de sesión o de servicio de confianza.
Phising, technique des poupées russes

Este método es especialmente eficaz para :

  • Evitar la detección: a los servicios de seguridad les resulta difícil identificar el phishing si cada etapa pasa por plataformas reconocidas.
  • Ganarse la confianza: las redirecciones múltiples refuerzan la impresión de legitimidad para el usuario.
  • Hacer más complejo el análisis: los equipos de seguridad tienen que examinar cada punto de redireccionamiento para comprender el ataque en su totalidad.

Esta estrategia demuestra el ingenio de los ciberdelincuentes para burlar los sistemas de seguridad y manipular a los usuarios hasta que es demasiado tarde. El phishing suele ser la primera etapa de un ataque de ransomware: una vez robadas las credenciales, los atacantes pueden infiltrarse en la red corporativa, desplegar malware y bloquear el acceso a datos críticos. En una encuesta realizada a 300 PYMES francesas por Opinion Way para WatchGuard en 2024, el 49% afirmó haber sido víctima de al menos un ciberataque. El phishing y la corrupción de correos electrónicos empresariales siguen siendo uno de los principales vectores de ciberataque.

PME touchées par cyberattaques en 2024
Porcentaje de PYMES francesas afectadas por un ciberataque en 2024 – Fuente WatchGuard

El aumento de los ataques de phishing en 2024

Según un informe publicado por Egress, especialista en seguridad del correo electrónico, el 76% de las empresas encuestadas declararon haber sufrido al menos un ataque de phishing este año. Este fuerte aumento se atribuye a la constante evolución de las técnicas utilizadas por los ciberdelincuentes, en particular técnicas de ingeniería social cada vez más sofisticadas. Hoy en día, el 44% de los correos electrónicos de phishing proceden de cuentas comprometidas, lo que da a sus mensajes una apariencia legítima difícil de detectar.

Al mismo tiempo, los ciberdelincuentes están utilizando hipervínculos en lugar de archivos adjuntos. Incrustados en el contenido de los correos electrónicos, estos enlaces son mucho más difíciles de detectar por los sistemas de protección. La mayoría de las veces redirigen a sitios fraudulentos que han sido cuidadosamente diseñados para imitar plataformas conocidas, engañando así a las víctimas. Esta estrategia permite a los atacantes eludir las medidas de seguridad y aumentar la eficacia de sus campañas.

Graphique de l’évolution des emails de phishing
Gráfico que muestra la evolución de los correos electrónicos de phishing – Fuente: Egress

El estudio de caso de Varonis mencionado anteriormente ilustra perfectamente la eficacia del uso combinado de cuentas comprometidas y enlaces de hipertexto maliciosos. Esta combinación permite a los ciberdelincuentes llevar a cabo campañas de phishing especialmente convincentes y complejas de detectar, incluso para los sistemas de seguridad avanzados.

Señales de alerta y medidas a tomar

Para detectar un ataque de phishing, he aquí algunas pistas a las que hay que prestar atención:

  • Correos electrónicos inesperados con archivos adjuntos o enlaces desconocidos.
  • Remitentes que afirman ser personas u organizaciones de confianza.
  • Presencia de reglas de eliminación de correo electrónico desconocidas en el sistema de mensajería.
  • Redireccionamientos sospechosos tras un intento de conexión.

Las empresas deben actuar con rapidez cuando sospechen un ataque: desactivar las cuentas comprometidas, restablecer las contraseñas y examinar los registros de acceso para identificar actividades inusuales.

Medidas preventivas esenciales

  • Formar regularmente a los empleados para que reconozcan las amenazas.
  • Implantar filtros de seguridad avanzados.
  • Realizar auditorías de seguridad periódicas.
  • Implantar la autenticación multifactor para todas las cuentas sensibles.

Las empresas deben revisar periódicamente sus estrategias de ciberseguridad. Se pueden organizar simulacros de ataques de phishing para poner a prueba la capacidad de reacción de los equipos y mejorar los procesos de detección y respuesta.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It