El phishing es el ataque cibernético más común en línea a nivel mundial, los piratas informáticos usan este tipo de estafas muy por encima de todos los demás tipos de ataques juntos. La razón de uso tan reiterativo es simple: el phishing es mucho más fácil de llevar a cabo que otras formas de ataque y su tasa de éxito es innegable.
En líneas generales podemos decir que el phishing es una estafa que requiere muy poco esfuerzo, por lo que su uso es más común y cada vez más amplio. En ocasiones es posible apreciar un resurgimiento en su popularidad, por lo que cabe la interrogante: ¿Por qué?, ¿A qué se debe? La respuesta es bastante simple: en la actualidad, quien sea puede llevar a cabo este tipo de ataques sin ningún tipo de experiencia en piratería informática y sin conocimiento en ingeniería social gracias al phishing como servicio.
¿Qué es PhaaS?
El phishing como servicio (o PhaaS, según sus siglas en inglés) es un servicio provisto mediante el cual los atacantes llevan a cabo campañas de phishing a gran escala sin necesidad de configurarlas ellos mismos. Por una módica suma, los atacantes consiguen acceso a un directorio de correos electrónicos, así como un kit de herramientas en línea para hacerse pasar por una o varias marcas conocidas e incluso sistemas de administración automatizados y de alojamiento independientes como parte del servicio.
¿Cómo funciona el phishing como servicio?
El proceso detrás de PhaaS es simple: un atacante se pone en contacto con una organización que proporciona este tipo de servicio y paga al operador del ataque para que cree y despliegue una campaña de phishing en contra de quien sea; los beneficios del servicio incluyen páginas de inicio de sesión defectuosas, alojamiento de sitios y los medios para retener y distribuir credenciales robadas.
La primera organización conocida en proporcionar PhaaS fue BulletProof Link, cuya constitución como compañía nunca fue legal y se dio a conocer públicamente en el año 2020; desde entonces, las investigaciones de Microsoft sobre el phishing como servicio han revelado que muchos de los servicios ofrecidos por esta organización son responsables de una gran parte de los ataques de phishing que se llevan a cabo en línea en la actualidad.
¿El PhaaS es un crimen?
El phishing en sí mismo es ilegal obviamente; el phishing para obtener datos personales suplantando a otra persona se considera robo de identidad, además cualquier intento de obtener información sin el consentimiento de la otra parte se considera una actividad criminal. Todas estas estafas siempre han sido, y serán, actividades ilegales.
Ofrecer ataques phishing como un servicio pago se suma a la jungla de estas actividades delictivas, la compra del servicio no garantiza que el “beneficiario” no asuma la responsabilidad de un ataque phishing; en el mejor de los casos sería considerado cómplice voluntario de la actividad que lleva cabo el prestador de servicios. En el peor de los casos, la organización puede ignorar cualquier participación y dejar que el “cliente” asuma solo todas las consecuencias.
¿Es eficiente PhaaS?
El PhaaS está destinado para ser increíblemente atractivo para los atacantes, la táctica está diseñada para atraer a la gente que no sabe cómo configurar campañas de phishing. El servicio es tal como lo describe su nombre: es phishing como un servicio: si no sabes diseñar o lanzar un ataque de phishing por tu cuenta, este operador lo hará por ti.
Es un servicio sorprendentemente organizado que le permite elegir el tipo de ataque que desea y le ofrecerá un precio o le dará una estimación de cómo se dividen las ganancias de las empresas estafadas. La mayoría de las veces, los compradores encuentran que estos precios son razonables. Después de todo, no necesitan tener ninguna experiencia para desarrollar el ataque ellos mismos. Tanto es así, que la gran mayoría de los ataques de phishing son realizados por dichos proveedores de servicios.
Ejemplos de phishing como servicio
Microsoft lleva varios años investigando el mundo del phishing como servicio. En este tiempo, se sorprendieron bastante al descubrir cuántos casos famosos de ataques de phishing a gran escala probablemente se atribuyeron a empresas de PhaaS.
Por ejemplo, el ataque del condado de Cabarrus en los Estados Unidos (que terminó costando a las víctimas un total de aproximadamente 1,7 millones de dólares) probablemente estuvo relacionado con una de estas importantes organizaciones de phishing. O, mucho más recientemente, mire el ataque a la jueza y estrella del programa Shark Tank, Barbara Corcoran. Fue estafada con casi $400,000 por alguien que se hizo pasar por su asistente, quien se cree que usó estos servicios para ejecutar su ataque.
¿Por qué es peligroso para su negocio?
Es fácil ver por qué esto podría ser una amenaza para su propio negocio. Más acceso a métodos de phishing en el mundo obviamente significará más phishing. Más piratas informáticos y amenazas en el mundo cibernético nunca serán algo bueno para su empresa, y esté «phishing como servicio» ha bajado tanto el listón de entrada que cualquier persona con pulgares y moral cuestionable puede hacerlo.
¿Cómo protegerse contra los PhaaS?
Deberá seguir los mismos pasos para prevenir estos ataques de phishing como lo haría con cualquier otro. Con un poco de suerte, el atacante no sabrá cómo administrar una campaña de phishing, pero no debe confiar en eso. Esté preparado para cualquier cosa para evitar que su negocio esté en riesgo.
Recomendamos lo siguiente para minimizar el riesgo de ataques:
- Use una VPN confiable para controlar quién tiene la IP de su red.
- Use protección de correo electrónico como EasyDMARC para reducir los correos electrónicos sospechosos.
- Tenga cuidado con los correos electrónicos que abre o use algún tipo de entorno de espacio aislado para verificar su contenido de manera segura.
- Cuando las solicitudes se realizan a través de mensajes, especialmente las que solicitan información o pago, asegúrese de confirmarlos en persona primero.
- Use un software antivirus confiable y actualizado
Pensamientos finales
Desafortunadamente, el phishing como servicio agrega otro obstáculo más del cual preocuparse si diriges una empresa u organización, esta nueva forma de ataque hace más accesible las herramientas para llevar a cabo ataques phishing con impunidad. Sin embargo, con algo de precaución y conocimiento adecuado sobre formas de protección contra estos ataques, los ataques PhaaS no tendrán éxito.