Por Julián Garrido
Director General de Mnemo México
Usualmente cuando pensamos en marketing lo primero que se nos viene a la mente son grandes estrategias para vender o posicionar un producto o un servicio y, en efecto, es parte de su función. Sin embargo, hoy los atacantes han encontrado en el marketing digital una puerta sin candados que, suplantando una identidad o usurpando el nombre de una marca, les permite insertarse de manera silenciosa en el corazón de los activos más importantes de una empresa o de un consumidor.
En ese sentido, una de las estrategias de marketing digital más rentables para los usuarios malos es el phishing, la cual ha generado una ola creciente de estragos a nivel global, provocando al menos un ataque de esta índole a más del 90% de las organizaciones en el mundo.
El incremento de los ataques de phishing, en los últimos años, demuestra una necesidad inminente para que los equipos de ciberseguridad y marketing de las corporaciones, así como los consumidores, dirijan su atención hacia estas nuevas formas de fraude que son dirigidas y personalizadas, ya que los actores maliciosos cada vez sofistican más sus técnicas para conseguir su objetivo.
La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico en el cual el remitente se hace pasar por una marca o una empresa de confianza (financieras, proveedores de entretenimiento, plataformas de streaming, servicios de correo, etc.), de modo que logran engañar al destinatario. Regularmente se incluye un enlace o URL que redirige a un sitio previamente configurado por los atacantes.
Toma nota: Las técnicas empleadas en las campañas de phishing
Algunos de los métodos más empleados recientemente por múltiples actores maliciosos es la contratación de Google Ads. El actor malicioso aprovecha que muchos usuarios acceden a sus servicios en línea buscándolos mediante su navegador web e ingresando en las primeras opciones de búsqueda, haciendo creer que, al momento de dar clic en los primeros resultados, ingresarán al sitio web legítimo; sin embargo, se puede tratar de un sitio phishing.
¿Cuánto le cuesta al actor malicioso crear una campaña de phishing?
El uso de esta técnica para el posicionamiento de los sitios phishing permite que cualquier persona con acceso a internet pueda realizarlo, pero esta no es la única razón por la cual esta actividad es más recurrente.
El segundo punto clave es que permite evadir los controles de seguridad que comúnmente son implementados en los servicios de correo electrónico, adicional a los bajos y accesibles costos con los que cuenta el servicio de Google Ads. A través de un análisis, se identificó que los precios para una campaña de publicidad rondan entre los 1.5 USD/día que provee alrededor de 0 a 10 accesos al anuncio y los 83 USD/día con 230-460 accesos, adicional a que pueden direccionar la campaña a un país y cantidad de días específicos de su ejecución.
Esto se traduce, en el peor de los escenarios, en que cada actor malicioso podría lograr que 460 víctimas por día accedan a este tipo de anuncios apócrifos.
Se realizó un ejercicio del cálculo aproximado respecto al costo que un actor malicioso emplea en una campaña de phishing, la cual depende de las siguientes características:
● El actor malicioso debe contar con habilidades o un equipo técnico que le permita la implementación de los sitios phishing.
● La compra de algunos dominios con algunas extensiones populares (.xyz/.africa/.data) con un promedio de 3 USD/año.
● El hosting para diversos dominios (4 USD/mes).
● Buscan alcanzar la mayor cantidad de víctimas en el menor tiempo: La mejor campaña de publicidad de Google (83 USD/día).
El tiempo promedio de las campañas analizadas por Mnemo consideró la implementación de un anuncio hasta por 2 días. Con esta consideración, los posibles gastos incurridos por el actor malicioso son:
[Anuncio] 166 USD + [Hosting] 4 USD + ([Dominios] 3 x 3 USD) = [Campaña] 179 USD
Generar una campaña de phishing tiene costos muy bajos y una alta rentabilidad; por ello, los malos apuestan por esta ruta de marketing donde el universo de víctimas es enorme.
Ante este panorama, comparto las siguientes recomendaciones para prevenir que tu empresa o tú como consumidor sean parte de la estadística atacada:
• No ingresar a páginas oficiales mediante anuncios o enlaces externos.
• En caso de recibir llamadas de supuestas entidades oficiales donde se solicite información, no brindar datos mediante esta comunicación. Siempre se deberá contactar por vías independientes para validar la solicitud.
• Verificar la sintaxis de la URL, validando que corresponda al sitio web legítimo de la institución.
• No acceder a cuentas personales o financieras desde redes de internet gratuitas.
• Evitar la descarga e instalación de software de control remoto en los dispositivos de uso personal.
Sigue a The markethink y entérate de los temas más actuales y sobresalientes de la industria
