En la era digital, el ciberdelito se ha diversificado y
profesionalizado. A medida que la tecnología evoluciona, las técnicas de ciberataque se han vuelto más
sofisticadas. En los últimos años ESET, compañía líder en detección proactiva de amenazas, ha
observado el auge de un servicio clandestino que preocupa a expertos en ciberseguridad: el Phishing as
a Service (PaaS). Este fenómeno, que florece en la Dark Web y sorprendentemente también en la Clear
Web, se está convirtiendo en una amenaza creciente.
El phishing es una técnica que busca engañar a las personas para que revelen información confidencial,
como contraseñas o datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza. Si bien
este método ha existido durante décadas, su comercialización como servicio es relativamente nueva.
A través del Phishing as a Service, incluso los actores con habilidades técnicas limitadas pueden lanzar
ataques de phishing. Por una tarifa, los proveedores ofrecen todo lo necesario: desde sitios web
falsificados hasta campañas de correo electrónico masivo y técnicas de evasión de detección.
Por menos de US$100, uno puede comprar acceso a una plataforma PaaS con plantillas actualizadas de
sitios web populares, garantizando que el aspecto y la sensación sean lo más realistas posible. Además,
algunos servicios incluso ofrecen garantías de “satisfacción”, prometiendo un cierto número de
“víctimas” exitosas.
La Dark Web, una parte oculta del internet que no está indexada por motores de búsqueda
convencionales y es accesible a través de navegadores específicos como Tor. Según ESET ha sido durante
mucho tiempo un mercado negro para todo tipo de actividades ilegales, y es ahí donde el PaaS ha
encontrado un terreno fértil.
Pie de imagen: Diagrama inspirado en el diseño elaborado por el Laboratorio Nacional de Argonne
ESET -Nota de Prensa
Lo que es aún más alarmante para ESET es la migración de estos servicios al Internet que usamos
diariamente (Clear Web o surface web). Disfrazados bajo la apariencia de pruebas de
seguridad o entrenamientos anti-phishing, algunos sitios en la web convencional ofrecen herramientas y
servicios que pueden ser utilizados para actividades maliciosas. Estos servicios, al operar en un área gris,
hacen que sea aún más difícil para las autoridades rastrear y cerrar dichos sitios, al igual que viene
sucediendo hace un tiempo con los sistemas de mensajería como Telegram que son elegidos por los
ciberdelincuentes.
“La proliferación del PaaS demuestra que la demanda de técnicas de phishing está en aumento y hace
más de una década viene siendo la técnica predilecta por los atacantes para desplegar sus ataques, en
esta línea es crucial que las organizaciones y los individuos estén informados y tomen medidas proactivas
para protegerse”, comenta Mario Micucci, investigador de Seguridad Informática de ESET
Latinoamérica.
Según ESET, la educación es la primera línea de defensa. Reconocer señales de phishing y saber cómo
actuar puede ser la diferencia entre mantenerse seguro y convertirse en una víctima.
“En esta era digital, donde las amenazas evolucionan constantemente, es esencial mantenerse un paso
adelante de los ciberdelincuentes. La lucha contra el PaaS no solo depende de la tecnología, sino también
de la conciencia y la educación”, concluye Micucci de ESET.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET:
https://www.welivesecurity.com/es/phishing/mercado-phishing-as-a-service-dark-clear-web/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:
https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw