Aquí hay una breve inmersión en las aguas turbias de los ataques que cambian de forma que aprovechan los kits de phishing dedicados para generar automáticamente páginas de inicio de sesión personalizadas en la mosca 09 de mayo de 2025 •, 4 min. Leer Phishing sigue siendo una amenaza particularmente terca en el paisaje de ciberseguridad. Se queda en parte porque a pesar de que los malos siempre están después del mismo premio, las credenciales de inicio de sesión de las personas y otra información confidencial, nunca dejan de evolucionar y adaptar sus tácticas. Una técnica que ha ganado tracción en los últimos años es el uso de páginas de phishing generadas dinámicamente. Utilizando kits de herramientas dedicados de phishing as-a-Service (PHAAS), los atacantes pueden girar páginas de phishing de aspecto auténtico en el acto, todo mientras las personalizan para quien se dirige. En lugar de clonar laboriosamente un sitio web objetivo, incluso los atacantes menos expertos en tecnología pueden hacer que los kits de herramientas hicieran el trabajo pesado por ellos, y en tiempo real y en una escala masiva. Un ejemplo bien conocido de dicho conjunto de herramientas, llamado logokit, fue noticia por primera vez en 2021 y aparentemente no ha ido a ningún lado desde entonces. Una tetera diferente de pescado Entonces, ¿cómo se desarrollan estos trucos? De manera predecible, el señuelo generalmente comienza con un correo electrónico que tiene como objetivo crear una sensación de urgencia o curiosidad, algo diseñado para hacerle hacer clic rápidamente sin pensarlo dos veces. Figura 1. Ejemplo de un correo electrónico malicioso con un enlace que conduce a una página de inicio de sesión falsa que hace clic en el enlace lo lleva a un sitio web que puede recuperar automáticamente el logotipo de la compañía que se está esforzando, todo mientras usa mal la API (interfaz de programación de aplicaciones) de un servicio de marketing legítimo de terceros como ClearBit. En otras palabras, las fuentes de consultas de la página de recolección de credenciales, como los agregadores de datos comerciales y los simples servicios de búsqueda de favicon para obtener el logotipo y otros elementos de marca de la compañía, a veces incluso agregando señales visuales sutiles o detalles contextuales que aumentan aún más la aura de la autenticidad de la lápida. Además del engaño, los atacantes también pueden llenar su nombre o dirección de correo electrónico, lo que parece que ha visitado el sitio antes. Figura 2. Página de inicio de sesión falsa para la Administración Federal de Ingresos Públicos de Argentina (AFIP) Figura 3. Es cierto que este es un ejemplo bastante crudo de una página de inicio de sesión de Amazon falsa Los detalles de inicio de sesión se envían en tiempo real a los atacantes a través de una solicitud posterior a Ajax. La página eventualmente lo redirige al sitio web legítimo real que tenía la intención de visitar todo el tiempo, dejándolo sin ser más sabio hasta que sea demasiado tarde. Mucho Phish en el mar, probablemente ya sea obvio, pero la técnica es una bendición para los atacantes por varias razones: Personalización en tiempo real: los atacantes pueden adaptar la apariencia de la página al instante para cualquier objetivo, obteniendo logotipos y otros elementos de marca de los servicios públicos sobre la mosca. Evasión mejorada: los ataques de enmascaramiento con elementos visuales legítimos ayudan a evadir la detección de muchas personas y algunos filtros de spam. Implementación escalable y ágil: la infraestructura de ataque a menudo es liviana y se despliega fácilmente en plataformas en la nube como Firebase, Oracle Cloud, GitHub, etc. Esto hace que estas campañas sean fáciles de escalar y más difíciles para los defensores para identificar y desmantelar rápidamente. Barreras bajas de entrada: los kits de herramientas como Logokit están fácilmente disponibles en foros subterráneos, proporcionando a las personas menos conocedoras de la tecnología las herramientas necesarias para lanzar ataques. Mantenerse alejado de la defensa de la evolución de las tácticas de phishing requiere una combinación de conciencia personal continua y controles técnicos robustos. Sin embargo, algunas reglas probadas y verdaderas contribuirán en gran medida a mantenerlo a salvo. Si un correo electrónico, mensaje de texto o llamado le solicita que haga clic en un enlace, descargue un archivo o proporcione información, haga una pausa y lo verifique de forma independiente. No haga clic en enlaces directamente en mensajes sospechosos. En su lugar, navegue al sitio web legítimo o comuníquese con la organización a través de un número de teléfono o dirección de correo electrónico de confianza. De manera crucial, use una contraseña o frase de pases fuerte y única en todas sus cuentas en línea, especialmente las valiosas. Complementar esto con la autenticación de dos factores (2FA) donde sea disponible también es una línea de defensa no negociable. 2FA agrega una segunda capa crítica de seguridad que puede evitar que los atacantes accedan a sus cuentas, incluso si logran robar su contraseña o obtenerla de fugas de datos. Idealmente, busque y use opciones de 2FA basadas en aplicaciones o token de hardware, que generalmente son más seguras que los códigos SMS. Además, use soluciones de seguridad robustas de múltiples capas con protecciones anti-phishing avanzadas en todos sus dispositivos. El resultado final, mientras que el objetivo, robar la información confidencial de las personas, es típicamente la misma, las tácticas utilizadas por los cibercriminales son todo menos estáticos. El enfoque de cambio de forma que se muestra arriba ejemplifica la capacidad de los ciberdelincuentes para reutilizar incluso tecnologías legítimas para fines nefastos. El surgimiento de las estafas asistidas por AI y otras amenazas confunden las aguas aún más. Con las herramientas de IA en manos de los delincuentes, los correos electrónicos de phishing pueden evolucionar más allá de Gibberish plantado y volverse hiperpersonalizado. La combinación de conciencia vigilante con fuertes defensas técnicas será de gran ayuda para mantener a raya al Phish siempre morfo.