El phishing es un ataque donde los delincuentes informáticos inventan alguna estrategia para llevar a los usuarios a caer en sus trampas, generando un variado número de modificaciones, que les permita realizar este engaño. Además de convertirse en la técnica más usada dentro de las tácticas para lograr un acceso inicial en un ataque cibernético.

En la matriz ATT&CK de MITRE, se crean tres sub-técnicas del phishing para determinar el mecanismo utilizado por los delincuentes cibernéticos, que tiene como objetivo conseguir ese paso fundamental en el ataque, que es el acceso inicial.

Pero la característica más importante para qué esta técnica de ataque funcione, es la interacción y ejecución por parte de la víctima. Por lo que puede presentarse por un enlace, por un adjunto o por entregar información que le solicitan, en todos esos casos se requiere que el usuario caiga en la trampa elaborada por los delincuentes.

Por lo cual, para mitigar esta amenaza, el principal mecanismo que se puede tener es la educación a las personas. En la mayoría de las ocasiones, las campañas de concientización no van acompañadas de herramientas que faciliten la identificación de las amenazas o con complejos procedimientos.

Esto hace que los usuarios no apliquen las medidas de protección. Por esa razón, les traigo 3 prácticos pasos para mitigar los dos primeras sub-técnicas de Phishing que se colocan en la matriz.

Verifica el remitente

A veces suena medio extraño, pero esa es una de las herramientas más comunes para que el engaño sea efectivo, pues al suplantar al remitente, el atacante usa el vínculo de confianza que tenga la víctima con este, y así pasar inadvertido. 

Es un engaño sencillo para los delincuentes, pues el nombre del remitente solo es una referencia visual que no tienen ninguna validación, por lo que se puede colocar lo que se desee. En algunas ocasiones son muy obvias las estafas, en otras no son para nada sencillas de detectar.

En las que no son tan simples, emplean técnicas de typosquatting, con el fin de que no nos percatemos el engaño.

Por último, las que son mucho más avanzadas, donde el delincuente utiliza el logo y terminología propia de la entidad o persona que está suplantando. En este caso se debe mirar con mayor detalle el mensaje, con el fin de no ser víctima de la estafa o no ser pescado.

Como se puede apreciar en estos tres ejemplos, validar el correo del remitente y no confiar en el nombre que aparece en la lista de recibidos, le permite al usuario reducir la posibilidad de caer en ese tipo de amenazas.

Enlaces en el mensaje

Es usual que en correos electrónicos recibamos enlaces que nos llevan a publicidad, documentos compartidos, sitios web, entre otros. Estos enlaces no muestran el detalle de a donde nos vamos a conectar, bien sea porque se enmascaran dentro de imágenes o del contenido del texto, o porque se usan enlaces recortados.

Estas características les permiten a los delincuentes crear engaños basados en estos enlaces. Llevando a los usuarios a hacer click sobre enlaces con contenidos maliciosos o dirigirlos a sitios web dedicados al robo de credenciales.

La forma de prevenir ser engañados en uno de estos ataques es realizar una validación del enlace que se va a seguir, lo cual se consigue de varias formas y con algunas herramientas en línea, que veremos a continuación

Como se puede ver en la imagen, al poner el cursor sobre el enlace a seguir en la parte inferior izquierda o en otros casos incluso sobre el mismo mensaje. Esa información le da al usuario la ruta real a donde lo dirige ese enlace, que como en este caso no tiene nada que ver con el remitente del correo.

Si el usuario continuo con alguna duda o quiere una verificación más exhaustiva, puede usar las herramientas DesenmascaraME y VirusTotal. Estas ejecutan un análisis en línea de las características de la dirección que le coloquemos y nos da una valoración de riesgo del sitio.

Simplemente, es copiar el enlace y pegarlo en estas páginas así:


El primer servicio se orienta a proteger sobre sitios web que suplantan, por lo tanto, es muy útil para detectar los sitios falsos, como el caso de esta muestra.

La segunda herramienta hace un análisis teniendo en cuenta reportes de inteligencia de amenazas de diferentes casas de antivirus. Si tomamos la misma página utilizada en el anterior ejercicio, no evidencia ninguna actividad maliciosa, como se puede apreciar.

Pero dentro de la comunidad se tiene un reporte, que para salir de la duda es mejor validarlo. Con el ejemplo que tenemos es un voto negativo de uno de los integrantes de la comunidad.

Archivos Adjuntos

Un adjunto es la forma más usada de desplegar programas maliciosos, debido a varias características propias del funcionamiento de los sistemas. Tales como, el poder manipular las extensiones, incluir subprogramas dentro de documentos, aprovechar errores en el manejo de los nombres de los archivos, entre otros.

Sin embargo, las maneras más comunes de ataque que emplean los delincuentes es la modificación de las extensiones y los programas internos dentro de documentos. En el primer caso, es usual que los archivos enviados estén comprimidos, pues los detectores contra malware embebidos en los sistemas de correo no pueden analizar este tipo de archivos.

Con el fin de prevenir caer en estas trampas, se han creado varios servicios en línea. Con el fin de no hacer más complejo el ejercicio de revisión, vamos a ver tres herramientas que nos permiten validar las extensiones, comparar los reportes de diferentes antivirus y analizar los programas internos en los documentos, eso sí, cuidando la privacidad.

Para validar la extensión, la herramienta que recomendamos se llama CheckFileType, con la cual pueden confirmar el tipo de archivo real que está analizando. Para la prueba usaremos un adjunto que dice ser una hoja de cálculo hecha en Excel.

Tras el análisis de la herramienta podemos ver que en realidad no es una hoja de cálculo, sino que es un archivo de texto, hecho en Word.

Para validar el riesgo asociado al archivo, empleamos  VirusTotal y así tener el reporte de varios sistemas de detección de programas maliciosos.

Revisamos el mismo archivo que pasamos a validar la extensión, donde encontramos que cerca del 60% de los analizadores lo detectan como malicioso. Este procedimiento no lo recomendamos para archivos con información sensible o personal, pues el servicio se queda con una copia del documento, lo que puede generar fugas de información.

Los archivos generados en MS Office y los archivos PDF, permiten a los atacantes embeber programas, llamados macros y JavaScript, respectivamente. Por lo cual son muy utilizados para acceder o extraer información en los computadores. Por este motivo creamos una herramienta en línea que permite hacer el análisis de estos programas cuidando la privacidad de la información contenida en los documentos.

Esta herramienta se llama Diario, para simplificar el proceso se puede integrar al correo electrónico de Outlook, pero es posible usarlo en línea, como mostraremos a continuación con el ejercicio con el mismo archivo que hemos usado.

Tras colocar el archivo a analizar, el sistema nos da un simple reporte que nos indica la presencia de componentes maliciosos dentro de los programas embebidos en los documentos.

Los usuarios deben entender que, para cambiar la percepción, de ser el eslabón más débil en la cadena de ciberseguridad, pasando a ser la primera barrera de protección contra la información de la empresa y personal. Sin embargo, para esto sus rutinas y comportamientos deben cambiar, con el objetivo de hacer que a los delincuentes les sea más difícil manipularlos u orientar su comportamiento hacia acciones que pongan en riesgo la información.

Estas herramientas y estos análisis se deberían ejecutar a todos los mensajes que reciben, sin importar si son desde correo electrónico o en mensajería instantánea o en mensajes de texto. En cualquier caso, estos pasos reducen la posibilidad de verse involucrados en un incidente cibernético. 

About Author

Diego Samuel Espitia Montenegro

Diego Samuel Espitia Montenegro es Colombiano, egresado como ingeniero electrónico y especialista en seguridad de redes con más de 12 años de experiencia en el proceso de prueba y la implementación de infraestructura de seguridad de redes, donde ha implementado principalmente software de código abierto para el desarrollo de esquemas de redes seguras. Diego trabaja actualmente como Chief Security Ambassador en ElevenPaths (Unidad de Ciberseguridad de Telefónica). Es investigador de seguridad y publica artículos sobre diferentes temas de seguridad de la información. Ha sido ponente internacional en diferentes conferencias de seguridad y conferencias de negocios, donde ha presentado sus investigaciones en eventos como 8dot8 Chile, Bsides CO, SegurInfo, Colombia StartUp, Andicom y convenciones de negocios.

Deja un comentario