El phishing es una técnica poderosa para lograr que las personas revelen información. El atacante envía un correo electrónico que parece provenir de una fuente legítima, como un banco. La víctima hace clic en ese enlace, intenta iniciar sesión en su cuenta y sus datos de inicio de sesión son robados.
El éxito de una campaña de phishing depende de cuán realista sea. Esto requiere un conjunto de habilidades que muchos ciberdelincuentes no tienen y esto solía ser una importante barrera de entrada. Pero el phishing como servicio está cambiando eso.
Entonces, ¿qué es el phishing como servicio?
¿Qué es el phishing como servicio?
El phishing como servicio (PaaS) es parte de una tendencia en la que los ciberdelincuentes se están convirtiendo en proveedores de servicios. En lugar de realizar ataques cibernéticos por su cuenta, ayudan a otros a realizar ataques a cambio de una tarifa.
Se basa en el modelo comercial de software como servicio en el que los clientes obtienen acceso al software a cambio de una tarifa mensual.
Esto proporciona a los ciberdelincuentes una nueva fuente de ingresos y permite que cualquier persona lleve a cabo ataques más profesionales.
¿Cómo funciona PaaS?
Los proveedores de PaaS anuncian sus productos como kits de phishing. Se venden principalmente en la web oscura, pero algunos kits de phishing ahora están disponibles en la web superficial (es decir, Internet normal).
Un kit de phishing incluye todo lo necesario para lanzar un ataque de phishing exitoso. Incluyen plantillas de correo electrónico para enviar correos electrónicos que parecen provenir de empresas legítimas, así como plantillas para sitios web a los que enviar a las víctimas. Algunos kits de phishing también incluyen listas de objetivos potenciales.
Debido a que los kits de phishing están dirigidos a personas sin conocimientos técnicos, a menudo también incluyen instrucciones detalladas y atención al cliente.
Los kits de phishing se anuncian como productos que permiten a cualquier persona ganar dinero realizando ataques de phishing, independientemente de sus habilidades. Este es un servicio popular para aquellos que quieren involucrarse en el ciberdelito pero carecen de los conocimientos necesarios.
¿Qué sucede con las credenciales robadas?
Después de que se hayan robado las credenciales de una víctima, hay varias posibilidades. El atacante puede usar las credenciales por sí mismo. Si se trata de una cuenta financiera, pueden intentar transferir fondos. O si se trata de acceso a una red, pueden usar ese acceso para iniciar un ataque de ransomware.
Las credenciales también se pueden revender en la dark web. Esto permite que alguien se beneficie de las credenciales robadas, incluso si en realidad no tienen un uso para ellas.
Algunos kits de phishing también están diseñados para conservar una copia de las credenciales robadas y enviarlas al editor del kit de phishing. Esto proporciona ingresos potenciales adicionales para el editor del kit de phishing. También significa que las credenciales a menudo se revenden en la web oscura, incluso si la persona que las robó tenía otras intenciones.
¿Por qué PaaS es un problema?
PaaS es un problema porque elimina la barrera de entrada al phishing. Normalmente, un ciberdelincuente necesitaría entender HTML para crear un correo electrónico efectivo. También necesitarían entender cómo crear un sitio web que parezca realista y robe contraseñas. Si alguien compra un kit de phishing, no necesita estas habilidades para realizar un ataque.
PaaS hace que las personas que ya están realizando ataques de phishing tengan más éxito. El éxito de una campaña a menudo está limitado por las habilidades de los perpetradores. Si esa persona paga por un kit de phishing, es probable que más personas caigan en sus ataques.
PaaS también dificulta el enjuiciamiento de los ataques de phishing.
Permite que las personas que son buenas para diseñar kits de phishing se beneficien de la actividad sin realizar ningún ataque de phishing. Si se atrapa a la persona que usa un kit de phishing, es probable que la persona que proporcionó el kit de phishing evite ser procesada. Luego pueden continuar vendiendo a otros.
¿Quién es el objetivo del phishing?
Los ataques de phishing se llevan a cabo tanto contra empresas como contra particulares. Si se ataca a un particular, se pueden robar las credenciales de inicio de sesión de sus cuentas financieras y personales.
Un ataque de phishing exitoso en una empresa puede dar lugar a que se produzcan otros ataques cibernéticos. Si el atacante roba las credenciales de una red, puede robar la información privada de los clientes o instalar ransomware.
Cómo evitar el phishing
Si bien PaaS hace que los ataques de phishing sean más difíciles de detectar, aún se pueden evitar si comprende qué buscar.
Comprobar el remitente
Los correos electrónicos de phishing se basan en que el destinatario no mira correctamente el nombre del remitente. El remitente puede usar la suplantación de identidad del correo electrónico para parecer legítimo, pero es imposible evitar pequeñas variaciones ortográficas.
Busque errores de formato
Los productos PaaS a menudo incluyen correos electrónicos muy realistas, pero aún no son tan profesionales como los reales. Busque errores tanto en el formato como en el idioma utilizado.
Independientemente de quién sea el remitente, debe nunca haga clic en un enlace en un correo electrónico. Tampoco debe descargar un archivo adjunto de correo electrónico a menos que esté seguro de lo que contiene.
Tenga cuidado con las solicitudes de información
Todos los correos electrónicos de phishing le piden que haga algo. Debe sospechar de cualquier correo electrónico que le solicite que proporcione información o que inicie sesión en una cuenta.
Las empresas deben capacitar a los empleados
Los ataques de phishing contra las empresas están dirigidos principalmente a los empleados. Para mitigar esta amenaza, todos los empleados deben ser capacitados en consecuencia.
Las empresas pueden usar software antiphishing
El software está ampliamente disponible para detectar correos electrónicos de phishing y evitar que lleguen a las bandejas de entrada de los empleados. Si bien este software no es una alternativa adecuada para la capacitación de los empleados, puede reducir el tamaño de la amenaza que enfrentan los empleados.
PaaS hace que el phishing sea una amenaza mayor
El phishing es una amenaza importante tanto para los particulares como para las empresas. Conduce a hackeos de cuentas de personas e intrusiones en la red de las empresas. PaaS se suma a esta amenaza al permitir que cualquier persona realice este tipo de ataques independientemente de su conjunto de habilidades.
La introducción de PaaS no solo aumenta la tasa de phishing, sino que también hace que cada ataque sea potencialmente más efectivo. Si bien los correos electrónicos de phishing a menudo son obvios, cualquiera que use un kit de phishing pagado puede robar muchas más credenciales.
¿Pueden hackear tu cuenta de Netflix?
Leer siguiente
Temas relacionados
- Seguridad
- Suplantación de identidad
- estafas
- Seguridad en línea
- La seguridad cibernética
Sobre el Autor
Elliot es un escritor tecnológico independiente. Principalmente escribe sobre fintech y ciberseguridad.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse