El phishing se ha convertido en una amenaza persistente que afecta a toda clase de usuarios y organizaciones, incluidas las universidades. Existen precauciones básicas para contrarrestarlo; entre otras, no abrir correos electrónicos, seguir ligas sospechosas y revisar que las direcciones de los sitios web sean legítimas. Sin embargo, no siempre resultan efectivas contra el phishing avanzado, como los ataques Meddler in the Middle (MitM).
Un ataque de phishing tradicional utiliza una página de inicio de sesión falsa para engañar a los usuarios y que ingresen sus credenciales. Normalmente, esto puede evitarse con medidas como la autenticación de dos factores (MFA). Sin embargo, los ataques Meddler in the Middle (“entrometido en medio”) constituyen un modo de phishing avanzado capaz de romperla. Igualmente, puede eludir muchos motores de detección de phishing basados en contenido.
Phishing, amenaza incesante
A partir de noviembre de 2022, varios ataques de phishing avanzado han utilizado tácticas Meddler in the Middle para comprometer cuentas de correo electrónico y robar información confidencial de diversas organizaciones. Para ello, en lugar de mostrar una versión falsificada de una página de inicio de sesión, se utiliza un servidor proxy inverso para transmitir la página original directamente al navegador del usuario.
Existen kits de herramientas de MitM populares que montan el ataque con unos pocos clics. La mala noticia es que amplían continuamente sus funciones y, al mismo tiempo, se vuelven más intuitivos y fáciles de usar.
El informe What’s Next in Cyber, de Palo Alto Networks, señala que sólo el 24% de las empresas mexicanas invierten en seguridad de la web. A medida que los kits de Meddler in the Middle crecen en popularidad, se espera que aumente su prevalencia en los ataques.
Meddler in the Middle: cómo protegerse
Los actores de amenazas ya están dando pasos en esta dirección: se predice que Evilginx 3.0 se lance en un futuro cercano, junto con un curso en línea sobre cómo ejecutar con éxito un ataque Meddler in the Middle.
Por el momento, los usuarios finales pueden tomar algunas acciones para protegerse contra los ataques de phishing avanzado. Entre otras, verificar la validez de una URL antes de ingresar cualquier credencial.
También se recomienda usar un administrador de contraseñas, pues dichas herramientas pueden alertar cuando se llega a una página de inicio de sesión que no reconoce. Además, conviene usar métodos MFA más actualizados, como claves de seguridad de hardware o WebAuthn 2FA. La inversión en solución de ataques y control de daños no es suficiente. Estar prevenidos con información actualizada y defensas de última generación es vital para frenar los ataques de phishing avanzado.
