En mi día a día dentro del ámbito de la concientización y entrenamiento en seguridad de la información, suelo recibir preguntas relacionadas a la duración de las campañas Phishing. Esto es porque uno de los métodos más efectivos para poder medir el grado de exposición de una organización frente a este tipo de ataques es, directamente, simular el ataque mismo y ver cuál es el comportamiento de los usuarios frente a una situación de Phishing real, pero inofensiva.
¡Que caigan todos!
Y al momento de lanzar una simulación de Phishing una de las dudas más comunes que asaltan a las personas a su cargo, es cuánto tiempo durará la misma. Lo más frecuente, es que en una primera instancia las personas se inclinen por realizar simulaciones con una duración de semanas, o incluso meses. El objetivo parece ser tener el tiempo suficiente para que caigan en la trampa simulada la mayor cantidad posible de personas, pero haciendo un análisis del comportamiento de las campañas de Phishing reales, podemos ver que éste no es el mejor enfoque.
Atrápame si puedes
Según un reporte de Webroots, el tiempo promedio que una campaña de Phishing está activa es de 15 horas, el tiempo mínimo 15 minutos, y el máximo 44 horas. Además, el 84% de las campañas de Phishing analizadas duró menos de 24 horas, por lo que podemos ver una clara tendencia: Las campañas de Phishing duran poco, y hay un motivo para ello.
Ciclo de vida de un ataque de Phishing en horas – Fuente: Webroots
En un pasado no muy lejano, un solo ataque de Phishing duraba varias semanas o meses, y se mantenía alojado en un determinado dominio propiedad del atacante. Esto, si bien parecía una buena idea, brindaba a las organizaciones el tiempo suficiente para detectar y bloquear los mensajes de correo electrónico o los sitios web que el atacante utilizaba y evitar así que sus usuarios sean víctimas. Las empresas de seguridad a su vez incluían los dominios o IPs de este tipo de ataques en sus listas negras y ese Phishing quedaba fuera de pelea.
Por este motivo, los atacantes han evolucionado ( y no sólo lo hicieron en este aspecto…) y han disminuido el tiempo que sus campañas de Phishing permanecen activas en un mismo dominio, lo cual permite que sea más difícil su detección. Además, utilizan dominios legítimos, los cuales comprometen para poder cargar su contenido malicioso, haciendo que sea más difícil bloquearlos mediante listas negras. Una página en específico de determinado dominio que en este momento es segura, el próximo segundo puede ser vulnerada por un delincuente y alojar contenido de Phishing.
Volviendo a la duda principal
Teniendo en cuenta lo dicho hasta aquí y recordando que la duda más recurrente es cuánto debería durar una campaña de Phishing simulado, si queremos ser fieles con la realidad, la misma no debería extenderse por más de dos días. De esta manera, podremos obtener estadísticas que se correspondan más con lo que realmente sucede en las campañas de Phishing lanzadas por los ciberdelincuentes y no desviar las mismas con situaciones que es menos probable que ocurran.
Deja una respuesta