Los actores de amenazas detrás de campañas de phishing están implementando una nueva táctica de evasión llamada “Phishing de Precisión Validada”, la cual muestra formularios falsos de inicio de sesión solo si la dirección de correo electrónico pertenece a un objetivo previamente verificado.
A diferencia del phishing tradicional que apunta a grandes masas, esta técnica verifica en tiempo real si un correo electrónico pertenece a un objetivo de alto valor, antes de desplegar el contenido malicioso.
¿Cómo funciona este phishing más inteligente?
Aunque no es extremadamente sofisticado, el método excluye automáticamente a los usuarios no válidos, lo que impide que investigadores de ciberseguridad detecten o analicen el ataque.
Según la empresa de seguridad de correo Cofense, esta táctica está dificultando enormemente el análisis de estas campañas, ya que:
- Al ingresar correos falsos o de prueba, los kits devuelven un error falso o redirigen a páginas inofensivas como Wikipedia.
- Esto engaña a los analistas y a las herramientas automatizadas (crawlers y sandboxes), reduciendo las tasas de detección y prolongando la vida útil de los sitios maliciosos.
“Los equipos de ciberseguridad solían analizar campañas de phishing ingresando credenciales falsas para observar la infraestructura del atacante. Con este nuevo enfoque, esos métodos ya no sirven,” explica Cofense.
Técnicas empleadas por los atacantes
Los kits de phishing usan dos métodos principales para validar correos electrónicos en tiempo real:
- Servicios de verificación externos
- Integran APIs de servicios de verificación de emails, que comprueban si la dirección ingresada existe y es válida.
- JavaScript personalizado
- Envía el correo ingresado al servidor del atacante, que lo compara con una lista precargada de objetivos.
- Si no hay coincidencia, el usuario es redirigido a un sitio inofensivo.
Cofense incluso detectó kits que envían un código de validación al correo real del objetivo, requiriendo que este lo introduzca en el sitio falso para continuar, lo que bloquea completamente la posibilidad de análisis por parte de expertos.
¿Por qué es preocupante esto?
Este tipo de validación dinámica complica la labor de los sistemas tradicionales de seguridad, ya que:
- No logran detectar el phishing si no se cumple la validación previa.
- No pueden observar ni registrar el comportamiento malicioso sin tener acceso al correo real del objetivo.
¿Qué deben hacer los defensores? ️
Los expertos advierten que es hora de actualizar las estrategias de detección:
- Enfocarse en el comportamiento más que en la estructura del phishing.
- Usar inteligencia de amenazas en tiempo real para correlacionar patrones y actividad sospechosa.
- Adoptar análisis avanzados de fingerprinting de campañas activas.
Conclusión
El phishing está evolucionando para ser más selectivo y evasivo. Las herramientas de seguridad también deben evolucionar si queremos seguir protegiendo a los usuarios de manera efectiva.