Durante los últimos días de septiembre fue publicado el informe del Anti-Phishing Working Group (APWG) sobre el estado y las tendencias de esta amenaza durante el primer semestre de 2014. Si bien el informe completo se puede descargar directamente del sitio del APWG, hay algunas cuestiones interesantes que vamos a retomar en el análisis desarrollado en este post.
Más allá del hecho de que Apple se convirtiera en la marca más utilizada para propagar campañas de phishing o que grupos chinos sean los responsables de registrar cerca del 85% de los dominios relacionados con esta amenaza, hay ciertos comportamientos que es importante conocer al respecto de cómo los ciberdelicuentes manejan este tipo de campañas, para poder saber cómo orientar las campañas de educación y prevención de este tipo de amenaza.
Tendencias a nivel mundial
Lo que se ha resaltado como tendencia en este informe es que a pesar de la posibilidad de utilizar dominios gratuitos con nombres asociados a las empresas o entidades utilizadas para el phishing, los atacantes prefieren utilizar servicios vulnerables para propagar sus campañas. Esta tendencia es un llamado de atención para los administradores de servicios en Internet para que los mantengan actualizados y hagan una gestión adecuada de sus sitios para de esta forma evitar que sean utilizados de forma fraudulenta.
Recientemente fueron liberados nuevos dominios para la generación de direcciones en Internet. A partir de esta liberación se esperaba que fueran aprovechados además para generar nuevos sitios de phishing. A pesar de esta amplia disponibilidad de sitios web, los cibercriminales siguen utilizando servidores vulnerables para sus campañas. Esto se puede explicar, en parte, por el hecho que existen sistemas que monitorean Internet en búsqueda de sitios que utilicen nombres de marcas de forma no autorizada.
Esta tendencia debe ser aprovechada como alerta de seguridad, ya que si somos más cuidadosos vamos a poder detectar más fácilmente cuándo estamos al frente de un caso de phishing mirando únicamente la URL identificando que no está para nada relacionado con la entidad que dice enviarnos el correo electrónico.
Duración de una campaña de phishing
Un aspecto importante para evaluar el alcance que puede tener una campaña de phishing es determinar por cuánto tiempo llegan a estar activas. Si bien determinar la cantidad de víctimas de una campaña no es una tarea sencilla, es razonable pensar que entre más tiempo esté activa, va a ser mayor la cantidad de víctimas.
De acuerdo al informe de la APWG que hemos citado, en promedio las campañas de phishing durante el primer semestre de 2014 tuvieron una duración de 32 horas y media. Aunque la mediana de los datos analizados está un poco por debajo de las nueve horas, lo cual quiere decir que la mitad de las campañas de phishing reportadas tienen una duración inferior a 9 horas.
El caso de Latinoamérica
Tomando los datos del informe del APWG relacionados con los países de Latinoamérica podemos contextualizar el comportamiento de las campañas de phishing en la región. Por ejemplo resulta importante hacer notar que en Brasil, Chile y Argentina encontramos el 80% de los casos únicos de phishing en Latinoamérica. Si agregamos solamente dos países más, Colombia y México, es decir con menos de la tercera parte de los países de Latinoamérica se concentra casi el 95% de las campañas únicas de phishing visto en la región:
Un índice que puede resultar interesante para entender la magnitud de la cantidad de sitios utilizados para campañas de phishing es compararlo con los nuevos sitios lícitos que se registran en cada país. De la próxima gráfica es evidente que en comparación los sitios de phishing no son tan masivos.
Resulta interesante ver como esta relación no es mayor necesariamente en los países donde se ve una mayor cantidad de campañas de phishing. Además, teniendo en cuenta que muchas de estas campañas utilizan sitios vulnerables, esta medida nos puede dar una aproximación indirecta de la cantidad de sitios vulnerables que existen en cada país en relación con los nuevos sitios que se registran.
Si bien las campañas de phishing son uno de los métodos más antiguos utilizados por los ciberdelincuentes para obtener información de los usuarios, vemos cómo se sigue utilizando de forma extendida. Es más, en el informe se pone de manifiesto que el número de campañas únicas detectadas en este primer semestre es uno de los valores más altos visto en los últimos años.
Es por esto que los invito a que por más sencilla que pueda parecer esta amenaza, se mantengan alertas para no caer en este tipo de engaños, además siempre compartir las medidas de protección con todos aquellos que conozcamos y que pudieran ser más vulnerables.
