Por Tim Rains - Microsoft

Recientemente publicamos el volumen 15 del Reporte de inteligencia de seguridad de Microsoft.  Este volumen del reporte contiene datos detallados sobre los tipos de ataques de phishing que los productos de Microsoft han ayudado a bloquear durante el primer semestre de 2013.  Por primera vez, el reporte también contiene datos sobre ataques de phishing dirigidos a usuarios con dispositivos móviles. Los datos sobre los sitios de phishing que los dispositivos de Windows Phone 8 encontraron proporcionan información valiosa sobre una de las formas en que los atacantes tratan de aprovechar el número rápidamente creciente de dispositivos móviles en línea. 

Phishing es un método de robo de credenciales que engaña a los usuarios en Internet para que revelen información sensible, como información personal o financiera, en línea.  Cualquier sistema o dispositivo que envíe y reciba correos electrónicos y permita a los usuarios navegar por Internet está en riesgo de este tipo de ataques.  Una forma en la que Microsoft ayuda a proteger a los clientes de los ataques de phishing es al tratar de identificar los sitios de phishing y alertar a la gente sobre los mismos si intentan visitarlos.  Microsoft obtiene información sobre sitios de phishing e impresiones de phishing de usuarios que eligen habilitar el Filtro de Phishing o el filtro SmartScreen en Internet Explorer.  Una impresión de phishing es una instancia única de un usuario que intenta visitar un sitio de phishing conocido con Internet Explorer y que queda bloqueado.  Si está interesado en obtener más detalles sobre cómo funciona esto, consulte un artículo que publiqué hace tiempo llamado Phishing en instituciones financieras y redes sociales.

Figura 1: El filtro SmartScreen en Internet Explorer bloquea sitios reportados de phishing y distribución de malware para proteger a los usuarios

  

El volumen de los ataques
El número de sitios e impresiones activas de phishing rara vez tienen alguna relación entre sí.  Algunas veces, los Phishers realizan campañas que temporalmente impulsan más tráfico a cada página de phishing sin aumentar necesariamente el número total de páginas activas de phishing que mantienen al mismo tiempo.  Como lo muestra la Figura 2, hubo un punto álgido en impresiones en todos los dispositivos (PCs y dispositivos móviles) en mayo, cuando las impresiones aumentaron 153.6% del promedio mensual.  Éste es un patrón característico que pudo haber sido causado por una o más campañas de phishing.  Con la excepción de este punto álgido en las impresiones de mayo, ambos sitios e impresiones estuvieron básicamente estables en todo el primer semestre de 2013, declinando gradualmente ambos entre enero y junio.

Figura 2: Sitios e impresiones de phishing reportadas por el filtro SmartScreen en todos los dispositivos (PCs y Windows Phone 8), enero-junio 2013, relacionado al promedio mensual para cada uno – como lo publicó el Reporte de inteligencia de seguridad de Microsoft, volumen 15

 

Al continuar el crecimiento de dispositivos móviles conectados a Internet, aumentó el volumen de impresiones de phishing en dispositivos móviles.  Las impresiones de phishing reportadas por Internet Explorer con Windows Phone 8 variaron de manera importante de mes a mes durante el primer semestre de 2013. Como lo ilustra la Figura 3, el número de impresiones reportadas en junio (el mes con el número mayor de impresiones) fue más del doble del número reportado en abril (el mes con el menor número de impresiones).  El número de sitios de phishing únicos encontrados por usuarios con dispositivos móviles fue más del doble entre enero y junio.

Figura 3: Sitios e impresiones de phishing reportadas por el filtro SmartScreen en Windows Phone 8, enero–junio 2013, relacionado al promedio mensual de cada uno – como se publicó en el Reporte de inteligencia de seguridad de Microsoft, volumen 15

Los objetivos de los ataques
Históricamente, la tendencia de los ataques de phishing está dirigida a instituciones financieras y redes sociales más que a otro tipo de sitios, como se ilustra en la Figura 4.  Las instituciones financieras siempre han sido objetivos populares de phishing debido a su potencial de proporcionar acceso ilícito y directo a las cuentas bancarias de las víctimas.  El aumento en el número relativo de impresiones de phishing en instituciones financieras en marzo y abril, junto con la reducción correspondiente en el número relativo de impresiones de phishing en redes sociales, sugiere la existencia de una o más compañías de phishing organizadas que se han dirigido a las instituciones financieras durante esos meses.  Hay mucho menos redes sociales que instituciones financieras, esto es, existen miles de bancos, pero sólo un Facebook, un LinkedIn, un Twitter, etc.  Por tanto, la mayoría de la actividad en redes sociales involucra un pequeño número de sitios Web muy populares, permitiendo que los phishers lleguen más fácilmente a un número mayor de víctimas sin tener que mantener muchos sitios diferentes de phishing.  En contraste, la actividad financiera mundial se realiza en un número mucho mayor de sitios y los atacantes necesitan preparar sus sitios de phishing individualmente para dirigirse a cada uno.  Esto explica porqué el porcentaje de sitios phishing que se dirigen a instituciones financieras es mucho mayor que el dirigido a redes sociales, como se muestra en la Figura 5.

Sin embargo, en enero de 2013 vimos que las cosas empezaron a cambiar.  Como lo ilustran las Figuras 4 y 5, los atacantes también se han enfocado en dirigirse recientemente a los servicios en línea, siendo el porcentaje de impresiones y sitios de phishing más del doble en el primer semestre de 2013. El número de sitios de phishing activos que se dirigieron a servicios en línea aumentaron de manera constante durante el primer semestre de 2013, de 15.4% de todos los sitios de phishing en enero a 33.8% en junio.  Las impresiones aumentaron de manera proporcional, del 8.7% de todas las impresiones en enero al 20.1% en junio. 

Figura 4 (izquierda): Impresiones en todos los dispositivos (PCs y Windows Phone 8) para cada tipo de sitio de phishing, enero–junio 2013, reportado por el filtro SmartScreen;

Figura 5 (derecha): URLs de phishing únicos visitados por Internet Explorer en todos los dispositivos (PCs y Windows Phone 8) para cada tipo de sitio de phishing, enero–junio 2013

La situación de los usuarios con dispositivos móviles era un poco diferente.  La popularidad de la actividad en redes sociales dentro de las plataformas móviles se refleja en las impresiones de phishing reportadas por los dispositivos con Windows Phone 8.  Los sitios de phishing dirigidos a sitios de redes sociales fueron responsables de más del triple de las impresiones móviles que en los demás sitios de phishing combinados para la mayoría de los meses en el primer trimestre de 2013.  El número de impresiones en redes sociales permaneció alto a lo largo del periodo, aún cuando el número de URLs de phishing únicos dirigidos a redes sociales disminuyó en más de la mitad entre enero y junio.  El número de sitios de phishing dirigidos a servicios en línea utilizados por los usuarios móviles aumentó de manera importante entre marzo y junio como se muestra en la Figura 7.

Figura 6 (izquierda): Impresiones reportadas por el filtro SmartScreen en Windows Phone 8 para cada tipo de sitio de phishing, enero–junio 2013;

Figura 7 (derecha): URLs de phishing únicos visitados por Internet Explorer en Windows Phone 8 para cada tipo de sitio de phishing, enero–junio 2013, por tipo de objetivo

  

El origen de los ataques de phishing
Los sitios de phishing están alojados en todo el mundo en sitios gratuitos de alojamiento, en servidores Web comprometidos y en otro tipo de contextos.  Las ubicaciones y concentraciones relativas de los sitios de phishing son dinámicas y pueden cambiar rápidamente.  En el segundo trimestre de 2013, las ubicaciones con concentraciones mayores al promedio de sitios phishing incluyeron Indonesia (11.6 por 1000 hosts de Internet), Ucrania (10.9) y Rusia (8.5).  Ubicaciones con concentraciones bajas de sitios de phishing incluyeron Taiwán (1.2), Japón (1.3) y Corea (1.9).

Figura 8 (izquierda): Sitios de phishing por 1000 hosts de Internet para ubicaciones en todo el mundo en el primer trimestre de 2013; Figura 9 (derecha): Sitios de phishing por 1000 hosts de Internet para ubicaciones en todo el mundo en el segundo trimestre de 2013

En los Estados Unidos, los estados con las mayores concentraciones de sitios phishing en el segundo trimestre de 2013 incluyeron a Utah (13.4 por 1000 hosts de Internet en 4T12), Georgia (10.0) y Arizona (7.7).  Estados con concentraciones bajas de sitios de phishing incluyeron a Virginia del Oeste (0.4), Minnesota (0.9) y Dakota del Norte (1.0).

Figura 10 (izquierda): Sitios de phishing por 1000 hosts de Internet para estados de los Estados Unidos en el primer trimestre de 2013; Figura 11 (derecha): Sitios de phishing por 1000 hosts de Internet para estados de los Estados Unidos en el segundo trimestre de 2013

  

Cómo defenderse contra los ataques de phishing
Por lo general, a los phishers no les importa el explorador, sistema operativo o dispositivo móvil potencial que utilizan las víctimas.  Como mencioné anteriormente, si su sistema o dispositivo móvil se utiliza para navegar la Web y/o enviar y recibir correos electrónicos, debe estar alerta de ataques de phishing.  Ésta es una guía para ayudarle a protegerse a usted y a su organización.

    • Cómo activar o desactivar vínculos y funcionalidad en los mensajes por correo electrónico con phishing

Tim Rains
Director
Computación Confiable