Si te ha interesado la seguridad cibernética, probablemente has oído hablar del phishing de consentimiento; el término insinúa la esencia precisa de lo que hace, es un tipo de ataque en línea muy específico que requiere el consentimiento de la víctima para que este le afecte. En tiempos recientes esta forma de ataque ha crecido a nivel mundial, indicando a todas las empresas lo necesario de revisar sus políticas de usuario y los protocolos de gestión de activos digitales.
Este artículo profundiza acerca de lo que es el phishing de consentimiento, para que las organizaciones y las personas puedan proteger sus datos de esta forma de ataque dirigida.
¿Qué es el phishing de consentimiento?
El phishing de consentimiento es una forma de ataque que engaña a la víctima con una aplicación de registro legítimo que sirve para obtener acceso a sus datos confidenciales. Este tipo de ataque difiere del phishing de credenciales, ya que no redirige al usuario a una página web falsa.
Su forma de implementación es diversa, pero la forma de ataque más común es a través del correo electrónico, lo que nos lleva a preguntarnos, ¿cómo ocurre el phishing de consentimiento? El proceso inicia cuando el atacante envía un mensaje que es confiable a primera vista al buzón de correo electrónico de su objetivo; una vez que este le da clic al enlace, se instala una aplicación en su dispositivo y a partir de ahí, el pirata informático recolecta la información que necesite sobre la víctima.
Ejemplo de phishing de consentimiento
En tiempos recientes ha habido muchos casos de ataques de phishing de consentimiento dirigidos a empresas u organizaciones de alto perfil que se han convertido en señal de advertencia para otras compañías.
Uno de los ejemplos más famosos es la brecha de seguridad revelada por el instituto SANS en el año 2020, en el cual según revelaron, algunos empleados recibieron un correo electrónico llamado «Copia de SANS July Bonus 24JUL2020.xls».
El mensaje incluía un documento notificando una supuesta «bonificación» en el formato Enabler4Excel 365 lo cual emocionó a muchos empleados que dieron clic al botón «abrir». Solo basto con que un empleado interactuara con el mensaje para que este instalara sin darse cuenta un complemento malicioso de Microsoft 365; el programa creó una regla de reenvío de al menos 513 correos electrónicos al atacante anónimo con información sensible.
¿Cómo funcionan los ataques de phishing de consentimiento?
Los ataques de phishing de consentimiento aparentemente provienen de proveedores legítimos, por lo que los mensajes siempre lucen confiables, ya que esto facilita que las aplicaciones controladas por los atacantes tengan acceso a los datos del usuario. Este plan de acción suele orquestarse meticulosamente para lograr el éxito. A continuación, te mencionamos los pasos comunes que siguen los atacantes que usan el phishing de consentimiento.
Método de ataque del phishing de consentimiento
Cada ataque de phishing de consentimiento es diferente, pero los pasos principales que siguen son esencia bastante similares:
- El atacante registra una aplicación con un proveedor de OAuth 2.0 (por ejemplo, Azure Active Directory).
- La aplicación presenta un nombre y estructura confiable para no levantar sospechas (por ejemplo, usar un nombre popular relacionado a un sitio web).
- El atacante genera un enlace que se envía a los usuarios para que hagan clic en él, otorgándole a la aplicación maliciosa permisos para acceder a sus datos.
- Una vez que el usuario acepta lo que ofrece el enlace, sus datos confidenciales quedan en poder de los atacantes.
- Posteriormente se implementa un token de acceso con un código de autorización enviado a la aplicación. También se usa para realizar llamadas a la API en nombre del usuario.
Una vez que el usuario acepta el mensaje, sus datos son accesibles para el atacante. Estos pueden incluir dirección de correo electrónico, contactos, archivos, notas, perfiles de redes sociales, etc.
Mecanismos de entrega
El phishing de consentimiento encuentra su camino a través de múltiples canales digitales, sin embargo, el correo electrónico es la fuente más fiable de entrega, ya que el atacante crea fácilmente la ilusión de que una empresa legítima se quiere poner en contacto con su objetivo. Los usuarios también pueden enfrentarse a ataques de phishing de consentimiento en aplicaciones, programas de software o formularios de inicio de sesión; ten presente que si accedes a una aplicación y esta te pide que instales otra aplicación, es necesario verificar si dicha solicitud está alineada con las políticas de privacidad del programa y las pautas de tu empresa.
Tácticas de phishing de consentimiento
Como ya mencionamos, el phishing de consentimiento es un ataque planificado que sigue una secuencia de pasos bastante específicos, comenzando con la creación de aplicaciones maliciosas hasta el esfuerzo por parecer genuino. El proceso en sí suena desalentador, sin embargo, tiene una alta tasa de éxito debido a la dedicación puesta por parte de los piratas informáticos.
Similar a otros tipos de phishing, este ataque tiene fuertes rasgos de ingeniería social, dado que el hacker se vale de la creación de sentido de urgencia; estos también se valen de una «gran oferta» que sea lo suficientemente atractiva para que la víctima haga clic en el enlace. Una de las características primordiales del phishing de consentimiento es la transferencia de culpa al receptor.
¿Por qué es eficiente el phishing de consentimiento?
El phishing de consentimiento es altamente eficiente porque se aprovecha de una aplicación que luce legítima, y que la víctima está ansiosa por instalar; también es efectiva debido a que su implementación se basa completamente en el consentimiento de la víctima.
El phishing de consentimiento ha sido catalogado como un tipo de ataque muy potente que ha ido a la par del auge del marketing por correo electrónico, esto ha hecho que este ataque gane más fuerza en el mundo cibernético. Los ataques phishing siguen rampantes con cada día que pasa, pero esta táctica aún no ha alcanza su punto máximo; en el pasado reciente predijimos el crecimiento del phishing de consentimiento para este 2022, ya que estos ataques como condición general no tiene la intención de disminuir.
Cómo prevenir ataques de phishing de consentimiento
El phishing de consentimiento es una amenaza para cualquier organización, por lo tanto, toda empresa tiene la necesidad de tomar medidas pertinentes para evitar la pérdida de datos. Vale la pena invertir en tu seguridad cibernética, ya que es imposible desestimar su importancia en la actualidad; también es importante destacar algunas tácticas prácticas de prevención contra el phishing de consentimiento.
Educa a tu personal
Los miembros de tu equipo deben estar conscientes del phishing de consentimiento para poder protegerse a sí mismos y la empresa donde trabajan. Toma tiempo para capacitar a tu personal en la verificación de enlaces, archivos, correos electrónicos y otro contenido que reciben, para que estos sean capaces de excluir mensajes que luzcan sospechosos.
Permite acceso de usuario a pocas aplicaciones aprobadas
Te recomendamos que solo instales aplicaciones verificadas por el editor o que crees una lista de aplicaciones en las que confíes al 100%. Si tu empresa produce aplicaciones, es mejor usar las herramientas producidas internamente.
Asegúrate que los administradores conozcan las políticas de evaluación de consentimiento
Las aplicaciones de terceros son importantes para tu negocio a pesar de los peligros del phishing de consentimiento; esto hace necesario que tus administradores comprendan el marco de permisos y consentimientos para evitar que aplicaciones maliciosas ingresen al entorno de tu compañía. Es por esto que recomendamos una política para aplicaciones externas que estipule cómo manejar las ofertas de instalación.
Usa protocolos de autenticación para tus correos electrónicos
Como ya mencionamos, el correo electrónico es uno de los principales mecanismos de entrega para el phishing de consentimiento, por lo que la capacitación y las políticas son cruciales. Confiar en el buen juicio de tus empleados no es suficiente.
Al igual que con cualquier tipo de phishing, tu mejor defensa es colocar suficientes filtros de protección para dejar la menor cantidad posible de capas de protección en manos humanas.
SPF, DKIM y DMARC no ayudan a tu infraestructura frente a amenazas entrantes (¡pero estamos trabajando en un producto que también resolverá esto!), sin embargo, podemos y proteger a sus socios y clientes contra las falsificaciones en su nombre; ten presente que es tu reputación la que está en juego, así que regístrate en EasyDMARC para comenzar tu proceso de autenticación.
Pensamientos finales
A medida que la tecnología evoluciona, es más fácil desbloquear cualquier cosa digitalizada, lo que hace que las probabilidades de ataques cibernéticos aumenten, así como la necesidad de mantener sus datos seguros.
Ahora que sabes lo qué es el phishing de consentimiento y cómo prevenirlo, te invitamos a poner en práctica todas las recomendaciones que hemos discutido.
¿Te has encontrado alguna vez con un caso de phishing de consentimiento? ¡Ponte en contacto con nosotros a través de LinkedIn y demos inicio a una relación útil!