La evolución del phishing dinámico ha llevado a los ciberdelincuentes a perfeccionar sus métodos de engaño, aprovechando herramientas diseñadas para optimizar el envío de campañas. ESET, líder en detección proactiva de amenazas, advierte que una de estas técnicas es el phishing dinámico, que utiliza servicios externos para importar logotipos y personalizar páginas de phishing, logrando un aspecto más legítimo y difícil de detectar.
El phishing es un ataque cuyo objetivo es obtener fraudulentamente información personal y/o confidencial de la víctima, como contraseñas, detalles de tarjetas de crédito, cuentas de redes sociales o corporativas. Los atacantes se hacen pasar por una persona o empresa de confianza a través de comunicaciones aparentemente oficiales como correos electrónicos, mensajería instantánea o llamadas telefónicas.
La novedad del phishing dinámico es que los atacantes pueden enviar estos correos de phishing con enlaces a sitios maliciosos de una forma más simple, sin tener que realizar una clonación compleja de sitios web. El engaño empieza con un correo electrónico, que contiene un enlace a un sitio web preparado para simular la página oficial de login. Está basado en una página web que permite la personalización dinámica en función de la empresa-objetivo
, comenta Camilo Gutiérrez Amaya, Jefe de Laboratorio de Investigación de ESET Latinoamérica.
Cuando la víctima hace clic en el enlace, el sitio obtiene automáticamente el logotipo de la empresa-objetivo, de servicios externos como Clearbit. Esto no solo da la apariencia de ser una página oficial, sino que también precarga el correo electrónico del usuario en el formulario de inicio de sesión, aumentando la sensación de autenticidad. Una vez que la víctima ingresa su contraseña, la información se envía en tiempo real a los atacantes mediante una solicitud AJAX, y se la redirige finalmente a su sitio web corporativo legítimo.
Ventajas del phishing dinámico
Según ESET, las técnicas de phishing dinámico presentan varias ventajas para los ciberdelincuentes:
Personalización en tiempo real
Los atacantes pueden adaptar la apariencia de la página a cualquier organización-objetivo, utilizando logotipos de servicios públicos.
Evitan ser detectados
Al enmascarar sus ataques con elementos visuales de servicios legítimos, evitan ser detectados por los filtros de seguridad tradicionales.
Fácil alojamiento y ocultación
Estos ataques son ligeros y fáciles de alojar en plataformas como Firebase, Oracle Cloud o GitHub, lo que dificulta su identificación y eliminación rápida. Además, la existencia de redirecciones abiertas en muchos servicios en línea permite a los atacantes ocultar enlaces maliciosos en dominios confiables.
Para mitigar el riesgo de estos ataques, ESET recomienda que las organizaciones implementen medidas como un segundo factor de autenticación (MFA). Añadir una capa adicional de seguridad puede prevenir el uso indebido de credenciales robadas.
El phishing dinámico es un recordatorio claro de que los ciberdelincuentes continúan evolucionando sus tácticas, utilizando tecnologías inicialmente diseñadas para mejorar la personalización y la experiencia del usuario. La vigilancia constante y la implementación de mejores prácticas de seguridad son esenciales para contrarrestar estas amenazas
, concluye Camilo Gutiérrez Amaya.
