El ciberdelito se ha diversificado y profesionalizado. A medida que la tecnología evoluciona, las técnicas de ciberataque se han vuelto más sofisticadas. ESET, compañía dedicada a la detección proactiva de amenazas, observó el auge de un servicio clandestino que preocupa a expertos en ciberseguridad: el Phishing as a Service (PaaS). Este fenómeno, que florece en la Dark Web y sorprendentemente también en la Clear Web, se está convirtiendo en una amenazaCircunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener causas naturales, ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente... creciente.
El phishing es una técnica que busca engañar a las personas para que revelen información confidencial, como contraseñas o datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza. Este método ha existido durante décadas, pero su comercialización como servicio es relativamente nueva.
A través del Phishing as a Service, incluso los actores con habilidades técnicas limitadas pueden lanzar ataques de phishing. Por una tarifa, los proveedores ofrecen todo lo necesario: desde sitios web falsificados hasta campañas de correo electrónico masivo y técnicas de evasión de detección.
La Dark Web, una parte oculta del internet que no está indexada por motores de búsqueda convencionales y es accesible a través de navegadores específicos como Tor. Ha sido durante mucho tiempo un mercado negro para todo tipo de actividades ilegales, y es ahí donde el PaaS ha encontrado un terreno fértil.
Por menos de $100 USD, se puede obtener acceso a una plataforma PaaS con plantillas actualizadas de sitios web populares, garantizando que el aspecto y la sensación sean lo más realistas posible. Además, algunos servicios incluso ofrecen garantías de “satisfacción”, prometiendo un cierto número de “víctimas” exitosas.
Lo que es aún más alarmante es la migración de estos servicios a la Clear Web (o surface web), el internet que usamos diariamente. Disfrazados bajo la apariencia de pruebas de seguridad o entrenamientos anti-phishing, algunos sitios en la web convencional ofrecen herramientas y servicios que pueden ser utilizados para actividades maliciosas. Estos servicios, al operar en un área gris, hacen que sea aún más difícil para las autoridades rastrear y cerrar dichos sitios, al igual que viene sucediendo hace un tiempo con los sistemas de mensajería como Telegram que son elegidos por los ciberdelincuentesAsí como en la sociedad existen los delincuentes, en el mundo informático existen los ciberdelincuentes, quienes son personas con actividades delictivas en internet. Roban información, acceden a redes privadas, realizan estafas, y todo lo relacionado con delitos e ilegalidad..
“La proliferación del PaaS demuestra que la demanda de técnicas de phishing está en aumento y hace más de una década viene siendo la técnica predilecta por los atacantes para desplegar sus ataques, en esta línea es crucial que las organizaciones y los individuos estén informados y tomen medidas proactivas para protegerse.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Esta empresa insiste en que la educación es la primera línea de defensa. Reconocer señales de phishing y saber cómo actuar puede ser la diferencia entre mantenerse seguro y convertirse en una víctima.
“En esta era digital, donde las amenazas evolucionan constantemente, es esencial mantenerse un paso adelante de los ciberdelincuentesAsí como en la sociedad existen los delincuentes, en el mundo informático existen los ciberdelincuentes, quienes son personas con actividades delictivas en internet. Roban información, acceden a redes privadas, realizan estafas, y todo lo relacionado con delitos e ilegalidad.. La lucha contra el PaaS no solo depende de la tecnología, sino también de la conciencia y la educación.”, concluye Micucci.