Los ataques de phishing siguen siendo un gran desafío para las organizaciones en 2025. De hecho, con los atacantes aprovechando cada vez más técnicas basadas en la identidad sobre las exploits de software, posiblemente plantee una amenaza mayor que nunca.
 |
| Los atacantes están aprovechando cada vez más las técnicas basadas en la identidad sobre las exploits de software, con credenciales de phishing y robo (un subproducto de phishing) ahora la principal causa de infracciones. Fuente: Verizon Dbir |
Los atacantes están aprovechando cada vez más las técnicas basadas en la identidad sobre las exploits de software, con credenciales de phishing y robo (un subproducto de phishing) ahora la principal causa de infracciones. Fuente: Verizon Dbir
Los atacantes están recurriendo a los ataques de identidad como el phishing porque pueden lograr todos los mismos objetivos que lo harían en un punto final o ataque de red tradicional, simplemente iniciando sesión en la cuenta de una víctima. Y con las organizaciones que ahora usan cientos de aplicaciones de Internet en su fuerza laboral, el alcance de las cuentas que se pueden impulsar o dirigir con credenciales robadas ha crecido exponencialmente.
Con los kits de phishing de by-bypassing de MFA, la nueva normalidad, capaz de cuentas de phishing protegidas por SMS, OTP y métodos basados en push, los controles de detección se están poniendo bajo presión constante a medida que los controles de prevención se quedan cortos.
Los atacantes están pasando por alto los controles de detección
La mayoría de la aplicación de detección y control de phishing se centra en el correo electrónico y la capa de red, generalmente en la puerta de enlace de correo electrónico segura (SEG), la puerta web segura (SWG)/proxy, o ambos.
Pero los atacantes saben esto y están tomando medidas para evitar estos controles, por:
- Evadiendo rutinariamente listas de bloques impulsadas por el COI rotando y actualizando dinámicamente elementos comúnmente firmados como IP, dominios y URL.
- Prevención del análisis de sus páginas de phishing mediante la implementación de la protección de bots como Captcha o Cloudflare Turnstile junto con otros métodos de evasión de detección.
- Cambiar los elementos visuales y dom en la página para que incluso cuando se cargue la página, las firmas de detección puedan activar.
 |
| La implementación de verificaciones de bots como Clouflare Turnstile es una forma efectiva de evitar las herramientas de análisis de Sandbox |
Y, de hecho, al lanzar ataques múltiples y de canales cruzados, los atacantes están evadiendo por completo los controles por correo electrónico. Solo vea este ejemplo reciente, donde los atacantes que se hacen pasar por Onfido entregaron su ataque de phishing a través de anuncios maliciosos de Google (también conocido como malvertida), pasando por alto el correo electrónico por completo.
 |
| Los atacantes están pasando por alto el correo electrónico atacando a sus víctimas a través de IM, las redes sociales, el uso de anuncios maliciosos y enviando mensajes utilizando aplicaciones de confianza |
Vale la pena señalar las limitaciones de las soluciones basadas en el correo electrónico aquí también. El correo electrónico tiene algunos cheques adicionales en torno a la reputación del remitente y cosas como DMARC/DKIM, pero estos en realidad no identifican maliciosos páginas. Del mismo modo, algunas soluciones de correo electrónico modernas están haciendo un análisis mucho más profundo del contenido de un correo electrónico. Pero … eso realmente no ayuda a identificar los sitios de phishing (solo indica que uno podría estar vinculado en el correo electrónico). Esto es mucho más apropiado para los ataques al estilo BEC donde el objetivo es diseñar a la víctima, en lugar de vincularlos a una página maliciosa. Y esto todavía no ayuda con los ataques lanzados en diferentes medios como hemos resaltado anteriormente.
Cómo la detección y respuesta basadas en el navegador pueden nivelar el campo de juego
La mayoría de los ataques de phishing implican la entrega de un enlace malicioso a un usuario. El usuario hace clic en el enlace y carga una página maliciosa. En la gran mayoría de los casos, la página maliciosa es un portal de inicio de sesión para un sitio web específico, donde el objetivo del atacante es robar la cuenta de la víctima.
Estos ataques están ocurriendo casi exclusivamente en el navegador de la víctima. Entonces, en lugar de construir más controles por correo electrónico o basados en la red que buscan desde el exterior en las páginas de Phishing a las que se accede en el navegador, se presenta una gran oportunidad al construir la detección de phishing y las capacidades de respuesta adentro el navegador.
Cuando observamos la historia de la detección y la respuesta, esto tiene mucho sentido. Cuando los ataques de punto final se dispararon a fines de la década de 2000 / principios de 2010, aprovecharon el hecho de que los defensores estaban tratando de detectar malware con detecciones principalmente basadas en la red, análisis de archivos basados en la firma y ejecutar archivos en cajas de arena (que fue derrotado de manera confiable con malware de Sandbox y usar cosas tan simples como poner un retraso de ejecución en el código). Pero esto dio paso a EDR, que presentaba una mejor manera de observar e interceptar software malicioso en en tiempo real.
 |
| EDR permitió la detección y respuesta en tiempo real en el nivel del sistema operativo en lugar de depender del tráfico hacia y desde el punto final. |
La clave aquí fue entrar en el flujo de datos para poder observar la actividad en tiempo real en el punto final.
Estamos en una posición similar hoy. Los ataques modernos de phishing están ocurriendo en las páginas web a las que se accede a través del navegador, y las herramientas en las que confiamos (correo electrónico, red, incluso punto final) no tienen la visibilidad requerida. Están mirando desde afuera.
 |
| La detección actual de phishing no está en el lugar correcto para observar y detener la actividad maliciosa en tiempo real. |
Pero, ¿qué pasaría si pudiéramos hacer detección y respuesta de ¿Dentro del navegador? Aquí hay tres razones por las cuales el navegador es mejor para detener los ataques de phishing:
#1: Analizar páginas, no enlaces
Las detecciones comunes de phishing se basan en el análisis de enlaces o HTML estático en comparación con las páginas maliciosas. Las páginas de phishing modernas ya no son HTML estáticas, como la mayoría de las otras páginas web modernas, estas son aplicaciones web dinámicas representadas en el navegador, con JavaScript reescribiendo dinámicamente la página y el lanzamiento del contenido malicioso. Esto significa que las verificaciones más básicas y estáticas no pueden identificar el contenido malicioso que se ejecuta en la página.
Sin un análisis más profundo, depende de analizar cosas como dominios, URL y direcciones IP contra listas de bloques conocidas. Pero todos estos son altamente desechables. Los atacantes los compran a granel, se hacen cargo constantemente de dominios legítimos y, en general, planean el hecho de que superarán muchos de ellos. La arquitectura de phishing moderna también puede girar y actualizar dinámicamente los enlaces que sirvieron a los visitantes desde una piscina continuamente renovada (por lo que cada persona que hace clic en el enlace recibe una URL diferente) e incluso ir en cuanto a usar cosas como enlaces mágicos de una sola vez (lo que también significa que cualquier miembro del equipo de seguridad que intente investigar la página más tarde no podrá hacerlo).
En última instancia, esto significa que las listas de bloques simplemente no son tan efectivas, porque es trivial que los atacantes cambien los indicadores que se usan para crear detecciones. Si piensa en la pirámide del dolor, estos indicadores se sientan en la parte inferior, el tipo de cosas de las que nos hemos estado alejando durante años en el mundo de la seguridad del punto final.
Pero en el navegador, puede observar la página web renderizada en todo su gloria. Con una visibilidad mucho más profunda de la página (y sus elementos maliciosos) puedes …
#2: Detectar TTP, no IOC
Incluso donde las detecciones basadas en TTP están en juego, generalmente dependen de reunir las solicitudes de red o cargar la página en un sandbox.
Sin embargo, los atacantes se están volviendo bastante buenos para evadir el análisis de Sandbox, simplemente implementando la protección contra el bot al requerir la interacción del usuario con una Captcha o CloudFlare Turnstile.
|
| La implementación de verificaciones de bots como Clouflare Turnstile es una forma efectiva de evitar las herramientas de análisis de Sandbox |
Incluso si puede superar el torniquete, deberá suministrar los parámetros y encabezados de URL correctos, y ejecutar JavaScript, para recibir la página maliciosa. Esto significa que un defensor que conoce el nombre de dominio no puede descubrir el comportamiento malicioso simplemente haciendo una solicitud simple de HTTP (s) al dominio.
Y si todo esto no fue suficiente, también están ofuscando elementos visuales y dom para evitar que las detecciones basadas en la firma las recoja, por lo que incluso si puede aterrizar en la página, existe una gran posibilidad de que sus detecciones no activen.
Cuando use un proxy, tendrá cierta visibilidad del tráfico de red generado por un usuario que accede e interactúa con una página. Sin embargo, tendrá dificultades para correlacionar acciones clave como si el usuario ingresó su contraseña con la pestaña específica al tratar con el gran volumen de datos de tráfico de red desorganizados.
Pero obtienes una visibilidad mucho mejor de todo esto en el navegador, con acceso a:
- Tráfico HTTP descifrado completo: no solo DNS y metadatos TCP/IP
- Se puede rastrear el rastreo completo de interacción del usuario: cada clic, teclado o cambio DOM
- Inspección completa en cada capa de ejecución, no solo HTML inicial servido
- Acceso completo a las API del navegador, para correlacionarse con el historial del navegador, el almacenamiento local, las cookies adjuntas, etc.
Esto le brinda todo lo que necesita para construir detecciones de alta fidelidad centradas en el comportamiento de la página y la interacción del usuario, eso es mucho más difícil para los atacantes que se manifiestan en comparación con las detecciones basadas en COI.
 |
| Estar en el navegador le permite construir controles mucho más efectivos basados en TTPS |
Y con esta nueva visibilidad, porque estás en el navegador y ves la página al mismo tiempo que el usuario está interactuando con ella, puedes …
#3: Intercept en tiempo real, no post mortem
Para soluciones no traficantes, La detección de phishing en tiempo real es básicamente inexistente.
En el mejor de los casos, su solución basada en el poder podría detectar el comportamiento malicioso a través del tráfico de red generado por su usuario que interactúa con la página. Pero debido a la complejidad de la reconstrucción de las solicitudes de red posteriores a la ciencia TLS, esto generalmente ocurre con un retraso de tiempo y no es del todo confiable.
Si se marca una página, generalmente requiere una mayor investigación por parte de un equipo de seguridad para descartar cualquier falso positivo y comenzar una investigación. Esto puede tomar horas en el mejor de los casos, probablemente días. Luego, una vez que se identifica una página como maliciosa y se crean los COI, puede tomar días o incluso semanas Antes de distribuir la información, los alimentos TI se actualizan y se ingieren en listas de bloques.
Pero en el navegador, estás observando la página en tiempo real, como lo ve el usuario, desde el interior del navegador. Este es un cambio de juego cuando se trata no solo de detectar, sino de interceptar y cerrar los ataques antes de que un usuario se quite y el daño se realice. Esto cambia el enfoque de la contención y la limpieza post mortem, a la intercepción previa al compromiso en tiempo real.
El futuro de la detección y respuesta de phishing se basa en el navegador
Push Security proporciona una solución de seguridad de identidad basada en el navegador que intercepta los ataques de phishing a medida que suceden, en los navegadores de los empleados. Estar en el navegador ofrece muchas ventajas cuando se trata de detectar e interceptar ataques de phishing. Usted ve la página web en vivo que el usuario ve, como la ve, lo que significa que tiene una visibilidad mucho mejor de elementos maliciosos que se ejecutan en la página. También significa que puede implementar controles en tiempo real que se activan cuando se detecta un elemento malicioso.
Cuando un ataque de phishing golpea a un usuario con push, independientemente del canal de entrega, nuestra extensión del navegador inspecciona la página web que se ejecuta en el navegador del usuario. Push observa que la página web es una página de inicio de sesión y el usuario está ingresando su contraseña en la página, detectando eso:
- La contraseña que el usuario ingresa al sitio de phishing se ha utilizado para iniciar sesión en otro sitio anteriormente. Esto significa que la contraseña se está reutilizando (mala) o el usuario está siendo eliminado (aún peor).
- La página web está clonada desde una página de inicio de sesión legítima que ha sido huelga de huellas digitales por Push.
- Un kit de herramientas de phishing se está ejecutando en la página web.
Como resultado, el usuario se bloquea para interactuar con el sitio de phishing y se le impide continuar.
Estos son buenos ejemplos de detecciones que son difíciles (o imposibles) para que un atacante evite: ¡no se puede poner a una víctima si no pueden ingresar sus credenciales en su sitio de phishing! Obtenga más información sobre cómo Push detecta y bloquea los ataques de phishing aquí.
 |
| Push evita que los usuarios accedan a las páginas de phishing cuando se detecten en el navegador. |
Obtenga más información
No se detiene allí: Push proporciona capacidades integrales de detección de ataque de identidad y respuesta contra técnicas como relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. También puede usar Push para encontrar y solucionar vulnerabilidades de identidad en cada aplicación que usan sus empleados: Iniciar sesión fantasma; Brechas de cobertura de SSO; Brechas de MFA; contraseñas débiles, violadas y reutilizadas; Integraciones arriesgadas de OAuth; y más.
Si desea obtener más información sobre cómo Push lo ayuda a detectar y derrotar técnicas de ataque de identidad comunes, reserve algo de tiempo con uno de nuestro equipo para una demostración en vivo, o registre una cuenta para probarlo de forma gratuita. Echa un vistazo a nuestra guía de arranque rápido aquí.