Los ataques de phishing por correo electrónico aumentaron un 28 % en el segundo trimestre de 2024 en comparación con el primer trimestre, y los atacantes desplegaron formas efectivas de superar las defensas, según un nuevo informe de Egress. Una táctica frecuente utilizada por los atacantes fue enviar correos electrónicos de phishing desde cuentas conocidas para eludir los protocolos de autenticación. En el período de abril a junio de 2024, el 44 % de los ataques se enviaron desde cuentas comprometidas internamente y el 8 % se originó en una cuenta dentro de la cadena de suministro de la organización. En una sesión informativa, Jack Chapman, vicepresidente senior de inteligencia de amenazas en Egress, explicó que la táctica mediante la cual los atacantes configuraban sus propios dominios para enviar correos electrónicos casi ha desaparecido. Otro método creciente para eludir las herramientas de seguridad es el uso de códigos QR como carga útil, que representan el 12% de los correos electrónicos de phishing. Las cargas útiles más frecuentes en todos los correos electrónicos de phishing analizados en el segundo trimestre fueron los hipervínculos, que se encontraron en el 45% de los casos, seguidos de los archivos adjuntos, que aparecieron en el 23% de los casos. El propósito de estas cargas útiles era generalmente robar credenciales, dijo Chapman. Estas credenciales pueden permitir ataques de seguimiento y son un «activo comúnmente comercializado» entre los ciberdelincuentes. La mayoría de los correos electrónicos de phishing implican suplantación de identidad El informe encontró que el 89% de los correos electrónicos de phishing enviados entre el 1 de enero y el 31 de agosto de 2024 implicaban suplantación de identidad, ya sea de una marca, departamento o individuo. Más de una cuarta parte (26%) de estos correos electrónicos se hacían pasar por marcas ajenas al destinatario. Entre ellos, el 9,7% se hizo pasar por proveedores de telefonía o videoconferencias como Zoom y el 5,3% se hizo pasar por servicios de envío como UPS o DPD. Otra técnica de suplantación popular fue hacerse pasar por la empresa para la que trabaja el objetivo, lo que representó el 16% de todos los correos electrónicos de phishing. Recursos humanos, TI y finanzas fueron los departamentos más suplantados, ya que las personas en estas áreas piden regularmente a los empleados que lleven a cabo acciones específicas relacionadas con el uso del sistema y los pagos. Los atacantes también están mejorando en la adaptación de los ataques a los empleados según sus niveles de antigüedad. Por ejemplo, los recién llegados con un mandato de dos a siete semanas eran las personas más objetivo de los correos electrónicos de phishing que se hacían pasar por «VIP», generalmente altos ejecutivos dentro de la organización, como el director ejecutivo. Chapman señaló que los nuevos empleados suelen estar ansiosos por complacer y ayudar, lo que los hace más susceptibles a esta táctica. Añadió que los atacantes suelen utilizar bots de LinkedIn para identificar nuevos integrantes en las organizaciones. Lea ahora: Cómo burlar nuevas tácticas y técnicas de phishing. Los ataques a productos básicos van en aumento. Egress observó el uso creciente de ataques de phishing a productos básicos: campañas producidas en masa diseñadas para abrumar a los empleados y administradores de ciberseguridad por su gran volumen. Durante una campaña de productos básicos, las organizaciones objetivo experimentan un aumento del 2700 % en ataques de phishing en comparación con su nivel de referencia normal. La prevalencia de tales campañas ha fluctuado. Egress observó que la popularidad de los ataques a productos básicos alcanzó su punto máximo en diciembre de 2023, representando el 13,6% de todos los correos electrónicos de phishing. La firma predice que se producirá un aumento similar en diciembre de 2024, a medida que los ciberdelincuentes exploten una mayor publicidad legítima y correos electrónicos de marcas durante el período festivo. Alrededor de las tres cuartas partes (72,3%) de los ataques a productos básicos utilizaron un hipervínculo como carga útil, seguido de códigos QR con un 14%. Chapman explicó que muchos de los correos electrónicos de phishing enviados durante las campañas de productos básicos son fáciles de detectar, pero sirven como «ruido blanco» para permitir que los intentos de phishing más sofisticados tengan éxito. «Están siendo malos a propósito para permitir un ataque real», dijo Chapman. Aparición de ataques multicanal Otra tendencia destacada en el informe Egress fue que los ataques se llevan a cabo en etapas a través de varios canales. Este enfoque suele ser empleado por grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) que tienen la capacidad de llevar a cabo campañas sofisticadas y sostenidas contra objetivos específicos. Chapman señaló que si bien el correo electrónico suele ser el punto de inicio y fin de estas campañas, existen numerosas etapas intermedias que utilizan plataformas como MS Teams y WhatsApp. Esta táctica multicanal es un nuevo vector, en el que los atacantes evolucionan rápidamente sus enfoques. Su objetivo principal es mover las comunicaciones con los objetivos entre diferentes plataformas y dispositivos, tanto comerciales como personales. «Desde un punto de vista criminal, tiene sentido moverse entre dispositivos: se rompen los rastros de auditoría, por lo que, si se tiene éxito, la mitigación es más difícil», señaló Chapman. “El otro elemento clave es psicológico. A las personas se les ha enseñado a tener mucho cuidado al hacer clic en enlaces en el correo electrónico, pero a menudo no están capacitadas para hacer clic en enlaces en Teams o WhatsApp”, agregó. Los kits de herramientas de phishing como servicio ofrecen capacidades impulsadas por IA Egress analizó los kits de herramientas de phishing como servicio disponibles en la web oscura, que permiten a atacantes de amenazas menos capacitados lanzar ataques más sofisticados de los que sus propias habilidades habrían permitido anteriormente. De los kits de herramientas analizados, el 74,8% hizo referencia a la IA y el 82% mencionó los deepfakes para respaldar los ataques de phishing. Tanto los sitios de mercado de la web oscura como los vendedores que los utilizan habitualmente ofrecen garantía sobre la calidad de sus ataques y su propia reputación. Esto incluye garantías de capacidad de entrega contra las defensas nativas de Microsoft y los principales proveedores de puertas de enlace de correo electrónico seguras (SEG). Además, la mayoría de estos proveedores ofrecieron soporte a los clientes las 24 horas del día, los 7 días de la semana, generalmente a través de Gpg4win, Telegram, Signal y WhatsApp.