Con el avance de la tecnología, también evolucionan las amenazas digitales. ESET, compañía especializada en ciberseguridad, alerta sobre una técnica cada vez más común entre los ciberdelincuentes: el phishing dinámico, una modalidad que aprovecha servicios legítimos para hacer más creíbles sus engaños.
A diferencia del phishing tradicional, en el que se clonan páginas web de forma estática, el phishing dinámico importa logotipos y personaliza formularios en tiempo real, generando páginas falsas que resultan prácticamente indistinguibles de las oficiales. El objetivo: obtener contraseñas, datos bancarios y credenciales corporativas o personales de forma fraudulenta.
“El engaño comienza con un correo electrónico aparentemente oficial, que redirige a un sitio de login falso. La diferencia es que este sitio personaliza la experiencia según la empresa objetivo: muestra su logotipo y, en algunos casos, hasta precarga el correo de la víctima, lo que refuerza la sensación de autenticidad”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
La técnica utiliza servicios como Clearbit para insertar automáticamente los logotipos en la página de inicio de sesión falsa. Al introducir sus datos, la víctima envía su información directamente a los atacantes mediante tecnología AJAX, quienes luego la redirigen al sitio oficial, evitando levantar sospechas.
Este tipo de ataques han sido detectados por el equipo de RiskIQ, quienes señalan herramientas como LogoKit, que permiten montar sitios falsos con apariencia profesional en cuestión de minutos. Además, los delincuentes aprovechan servicios como Firebase, Oracle Cloud o GitHub para alojar sus campañas, lo que dificulta su detección por parte de los filtros de seguridad tradicionales.
Otra táctica que utilizan es el abuso de redirecciones abiertas en plataformas confiables, lo que les permite esconder enlaces maliciosos detrás de URLs aparentemente seguras.
Desde ESET recomiendan a las organizaciones y usuarios implementar medidas como el segundo factor de autenticación (MFA) y reforzar la capacitación en ciberseguridad, ya que, como advierte Gutiérrez Amaya, “el phishing dinámico es un recordatorio claro de que los ciberdelincuentes están aprovechando las mismas tecnologías que usamos para mejorar la experiencia del usuario, pero con fines maliciosos”.
Alemania se encuentra en estado de alerta máxima debido a una histórica e intensa ola…
El Día Internacional del Orgullo LGBTQ+, conmemorado mundialmente cada 28 de junio, se despliega este…
¿Sabías que tu celular tiene una alarma sísmica oculta? Descubre cómo el Sistema de Alertas…
La esposa del exdirector de Petróleos Mexicanos (Pemex), Víctor Rodríguez Padilla, denunció públicamente haber sido…
Un aparatoso accidente de tránsito registrado la noche de este viernes sobre el Boulevard Playa…
Con el objetivo de garantizar la paz social y proteger la competitividad económica del principal…