{"id":23932,"date":"2020-09-28T10:18:00","date_gmt":"2020-09-28T08:18:00","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23932"},"modified":"2020-09-28T10:18:00","modified_gmt":"2020-09-28T08:18:00","slug":"delayed-phishing-countermeasures","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/delayed-phishing-countermeasures\/23932\/","title":{"rendered":"C\u00f3mo hacer frente al phishing con retardo"},"content":{"rendered":"<p>Hace mucho tiempo que el <em>phishing<\/em> se convirti\u00f3 en uno de los vectores de ataque m\u00e1s importantes para las redes corporativas. Por tanto, no deber\u00eda sorprender que todos y todo en general, desde los proveedores de correo electr\u00f3nico hasta las pasarelas de correo e, incluso, los navegadores, utilicen los filtros <em>antiphishing<\/em> y el an\u00e1lisis de direcciones maliciosas. Esto provoca que los ciberdelincuentes sigan inventando constantemente nuevos m\u00e9todos, o perfeccionen los antiguos, para eludir los mecanismos de detecci\u00f3n. Uno de estos m\u00e9todos es el <em>delayed phishing<\/em>, que podr\u00edamos traducir como <em>phishing<\/em> con retardo.<\/p>\n<h2>\u00bfQu\u00e9 es el <em>delayed phishing<\/em>?<\/h2>\n<p>El <em>delayed<\/em> <em>phishing<\/em> o <em>phishing<\/em> con retardo es un intento de atraer a una v\u00edctima a un sitio malicioso o falso mediante una t\u00e9cnica conocida como <em>Post-Delivery Weaponized URL<\/em>. Como el propio nombre sugiere (URL armada posterior al env\u00edo, por su traducci\u00f3n), esta t\u00e9cnica reemplaza el contenido <em>online<\/em> con una versi\u00f3n maliciosa despu\u00e9s de la entrega de un correo electr\u00f3nico que lo vincula. En otras palabras, la v\u00edctima potencial recibe un correo electr\u00f3nico con un v\u00ednculo que, o bien no dirige a ning\u00fan sitio, o lo hace a un recurso leg\u00edtimo que ya puede estar comprometido pero que en ese momento no tiene contenido malicioso. Como resultado, el mensaje pasa por todos los filtros. Los algoritmos de protecci\u00f3n encuentran la URL en el texto, escanean el sitio vinculado, no ven nada peligroso y, por tanto, permiten el mensaje.<\/p>\n<p>En alg\u00fan momento posterior al env\u00edo (siempre despu\u00e9s de la entrega y, a ser posible, antes de que se lea), los ciberdelincuentes cambian el sitio al que est\u00e1 vinculado el mensaje o activan el contenido malicioso en una p\u00e1gina previamente inofensiva. El truco podr\u00eda ser cualquier cosa, desde la imitaci\u00f3n de un sitio bancario hasta un <em>exploit<\/em> del navegador que intenta lanzar <em>malware<\/em> en el ordenador de la v\u00edctima. Pero en aproximadamente el 80 % de los casos, es un sitio de <em>phishing<\/em>.<\/p>\n<h2>\u00bfC\u00f3mo consigue enga\u00f1ar a los algoritmos <em>antiphishing<\/em>?<\/h2>\n<p>Los ciberdelincuentes utilizan uno de estos tres medios para que sus mensajes pasen los filtros.<\/p>\n<ul>\n<li><strong>Un enlace simple.<\/strong> En este tipo de ataque, los delincuentes controlan el sitio objetivo, que crearon desde cero o <em>hackearon<\/em> y secuestraron. Los ciberdelincuentes prefieren este \u00faltimo m\u00e9todo, ya que as\u00ed el sitio ya cuenta con una buena reputaci\u00f3n, lo cual gusta a los algoritmos de seguridad. En el momento de la entrega, el enlace conduce a un <em>stub<\/em> sin sentido o (m\u00e1s com\u00fanmente) a una p\u00e1gina con un mensaje de error 404.<\/li>\n<li><strong>El cambio de un enlace corto.<\/strong> Muchas herramientas <em>online<\/em> permiten a cualquiera convertir una URL larga en una corta. Los enlaces cortos facilitan la vida de los usuarios; pero, un enlace corto y f\u00e1cil de recordar se acaba convirtiendo en uno grande. En otras palabras, desencadena una redirecci\u00f3n simple. Con algunos servicios, puedes cambiar el contenido oculto detr\u00e1s de un enlace corto, una laguna que los atacantes aprovechan. En el momento de la entrega del mensaje, la URL dirige a un sitio leg\u00edtimo, pero despu\u00e9s lo cambian a uno malicioso.<\/li>\n<li><strong>Un enlace corto y aleatorio.<\/strong> Algunas herramientas para acortar enlaces permiten la redirecci\u00f3n probabil\u00edstica. Es decir, el enlace tiene un 50% de posibilidades de llevar a google.com y otro 50% de abrir un sitio de <em>phishing<\/em>. La posibilidad de aterrizar en un sitio leg\u00edtimo aparentemente puede confundir a los rastreadores (programas para la recopilaci\u00f3n autom\u00e1tica de informaci\u00f3n).<\/li>\n<\/ul>\n<h2>\u00bfCu\u00e1ndo se vuelven maliciosos los enlaces?<\/h2>\n<p>Los atacantes suelen operar bajo el supuesto de que su v\u00edctima es un trabajador normal que duerme por la noche. Por lo tanto, los mensajes de <em>phishing<\/em> con efecto retardado se env\u00edan despu\u00e9s de medianoche (seg\u00fan la zona horaria de la v\u00edctima) y se vuelven maliciosos unas horas m\u00e1s tarde, cerca del amanecer. Al observar las estad\u00edsticas de los factores desencadenantes del <em>antiphishing<\/em>, vemos un pico entre las 7 y las 10 de la ma\u00f1ana, cuando los usuarios que ya ha se han tomado su caf\u00e9 hacen clic en los enlaces que eran benignos en el momento del env\u00edo pero que ahora son maliciosos.<\/p>\n<p>Tampoco podemos perder de vista el <em>spear phishing<\/em>. Si los ciberdelincuentes encuentran a una persona espec\u00edfica para atacar, pueden estudiar la rutina diaria de su v\u00edctima y activar el enlace malicioso dependiendo de la hora a la que revise el correo.<\/p>\n<h2>C\u00f3mo detectar el <em>phishing<\/em> con retardo<\/h2>\n<p>Lo ideal ser\u00eda evitar que el enlace de <em>phishing<\/em> llegue al usuario, por lo que volver a analizar la bandeja de entrada parece la mejor estrategia. En algunos casos, esto es factible: por ejemplo, si tu organizaci\u00f3n utiliza un servidor de correo de Microsoft Exchange.<\/p>\n<p>A partir de este mes de septiembre, Kaspersky Security for Microsoft Exchange Server admite la integraci\u00f3n del servidor de correo a trav\u00e9s de la API nativa, que permite volver a analizar los mensajes que ya se encuentran en los buzones de correo. Un an\u00e1lisis configurado adecuadamente asegura la detecci\u00f3n de intentos de <em>phishing<\/em> con retardo sin crear una carga adicional en el servidor en la hora pico del correo.<\/p>\n<p>Adem\u00e1s, nuestra soluci\u00f3n te permite monitorizar el correo interno (que no pasa a trav\u00e9s de la pasarela de seguridad del correo y, por lo tanto, pasa desapercibido para tus filtros y motores de an\u00e1lisis), as\u00ed como implementar reglas m\u00e1s complejas para filtrar el contenido. En casos especialmente peligrosos de compromiso del correo electr\u00f3nico empresarial (BEC), en los que los ciberdelincuentes obtienen acceso a una cuenta de correo corporativo, la capacidad de volver a escanear el contenido de las bandejas de entrada y controlar la correspondencia interna adquiere una importancia especial.<\/p>\n<p>Kaspersky Security for Microsoft Exchange Server se incluye en nuestras soluciones Kaspersky Security for Mail Servers and <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security for Business<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Los enlaces de phishing en los correos electr\u00f3nicos de los empleados de una empresa a menudo se activan despu\u00e9s del an\u00e1lisis inicial. Pero todav\u00eda pueden y deben ser capturados.<\/p>\n","protected":false},"author":2569,"featured_media":23933,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[1721,43],"class_list":{"0":"post-23932","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-phishing"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/delayed-phishing-countermeasures\/23932\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/delayed-phishing-countermeasures\/21929\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/delayed-phishing-countermeasures\/17405\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/delayed-phishing-countermeasures\/23350\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/delayed-phishing-countermeasures\/21545\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/delayed-phishing-countermeasures\/20159\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/delayed-phishing-countermeasures\/22899\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/delayed-phishing-countermeasures\/29129\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/delayed-phishing-countermeasures\/8856\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/delayed-phishing-countermeasures\/37153\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/delayed-phishing-countermeasures\/15717\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/delayed-phishing-countermeasures\/16104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/delayed-phishing-countermeasures\/13996\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/delayed-phishing-countermeasures\/25217\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/delayed-phishing-countermeasures\/12006\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/delayed-phishing-countermeasures\/26130\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/delayed-phishing-countermeasures\/22906\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/delayed-phishing-countermeasures\/28223\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/delayed-phishing-countermeasures\/28056\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23932","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2569"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=23932"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23932\/revisions"}],"predecessor-version":[{"id":23943,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23932\/revisions\/23943"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/23933"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=23932"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=23932"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=23932"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}