Volver al blog
Casos de estudio Phishing9 de junio de 20264 min de lecturaOzan İsmail Çolhak

¿Por qué los castillos de millones de dólares se derrumban con un solo enlace? (Parte 1)

Cómo Google y Facebook perdieron 120 millones de dólares ante una sola campaña de phishing — y lo que las herramientas de seguridad tradicionales no detectaron.

PhishingCaso de estudioGoogleFacebookPhiSharkSeguridad con IA

En la industria de la ciberseguridad, todos vivimos dentro de una gran ilusión.

Las empresas gastan millones de dólares, implementan los firewalls más avanzados, segmentan sus redes y construyen enormes Centros de Operaciones de Seguridad (SOC). Desde fuera, se ve un castillo corporativo impenetrable e impecable. Pero mientras la mayoría de los presupuestos de ciberseguridad se destinan a infraestructura técnica, muchos ataques exitosos siguen produciéndose a través del factor humano. Esta es una contradicción masiva que la industria a menudo evita enfrentar.

La mayoría de estos castillos de millones de dólares se derrumban con un solo enlace falso, un solo correo electrónico, un solo código QR o un solo archivo PDF que llega frente a un empleado agotado al final de un día largo y ajetreado.

Por esta razón, los atacantes ya no necesitan gastar toda su energía en hackear sistemas directamente. En lugar de pasar meses intentando vulnerar un servidor blindado, es mucho más fácil, barato y destructivo hackear la confianza, el cansancio y la urgencia momentánea de las personas. Desafortunadamente, las herramientas tradicionales de ciberseguridad son naturalmente ciegas en este nuevo frente de batalla.

Descendamos al verdadero frente de batalla de la ciberseguridad. En la primera parte de esta serie de tres entregas, veremos cómo algunas de las empresas más grandes del mundo fueron abiertamente cazadas.

El punto ciego detrás de los firewalls perfectos: el caso de Google y Facebook

Estamos hablando de dos gigantes globales que emplean a algunos de los mejores ingenieros de ciberseguridad del mundo y utilizan algunos de los sistemas de filtrado basados en IA más avanzados: Google y Facebook.

Un cibercriminal atacó a Quanta Computer, un importante fabricante taiwanés de hardware que mantenía relaciones comerciales de miles de millones de dólares con ambas empresas. Este no era un correo ordinario de "restablezca su contraseña". El atacante pasó días analizando las estructuras de correo corporativo de las empresas, las plantillas de facturas reales, los términos de pago y el estilo de escritura, y luego los copió casi a la perfección. Después de eso, compró nombres de dominio falsos que se parecían tanto a los originales que era casi imposible notar la diferencia de una sola letra a simple vista. A través de estos dominios falsos, comenzó a enviar facturas fraudulentas a los empleados de los departamentos de contabilidad.

Desde la perspectiva de la ciberseguridad, ¿qué ocurrió aquí? ¿Por qué no se pudo prevenir?

Las pasarelas de correo seguro (SEG) tradicionales escanearon estos correos entrantes. Las herramientas de seguridad corporativas funcionan principalmente con lógica basada en firmas y reputación. No había ningún malware conocido dentro del correo. Los enlaces dentro de los mensajes también eran dominios completamente nuevos y limpios que nunca habían aparecido en ninguna lista negra de inteligencia de amenazas cibernéticas. Los filtros analizaron datos históricos, decidieron que todo estaba "limpio" y los correos llegaron frente a empleados ocupados.

Cuando los empleados vieron el formato de factura familiar de un proveedor con el que habían trabajado durante años, no sospecharon nada. ¿El resultado? Google y Facebook transfirieron un total de 120 millones de dólares a las cuentas bancarias del atacante después de confiar en esos correos de facturas falsas.

¿Qué habría cambiado si PhiShark hubiera estado presente?

Si esos empleados hubieran tenido la Extensión de Navegador PhiShark integrada en sus navegadores o en su red de correo corporativo, el sistema no habría actuado como las herramientas tradicionales y solo habría preguntado: "¿Esta URL ya es conocida en una lista negra?"

La Protección de Correo de PhiShark y el Módulo de URL en Tiempo Real habrían comenzado a pensar como un analista de ciberseguridad en segundo plano en milisegundos desde que se activó ese enlace de factura. Nuestro analista de IA agéntico (AIPA) habría hecho preguntas críticas como:

  • Este dominio fue registrado hace solo 3 días. ¿Por qué está suplantando el nombre de un fabricante de hardware de billones de dólares?
  • ¿Por qué los registros del servidor de envío no coinciden con los registros de infraestructura reales de la marca suplantada?
  • ¿Por qué hay anomalías estructurales en la cadena de redirección?

Incluso si el dominio no tenía historial de reputación, PhiShark habría detectado el ataque por su comportamiento en vivo y su estructura de suplantación de marca. Cuando el empleado hiciera clic en el enlace para pagar la factura, antes de que su dedo se levantara del ratón, nuestra extensión habría intervenido, habría puesto la pantalla en rojo y habría detenido la transacción. Esos 120 millones de dólares se habrían quedado dentro de la empresa.

Porque el mejor firewall es aquel que destruye la amenaza en el primer milisegundo en que aparece en la pantalla del empleado.

En la segunda parte, examinaremos cómo los archivos PDF maliciosos que evaden los filtros de correo tradicionales pueden derribar a grandes empresas.

Mantente seguro. Descarga PhiShark.

Por cierto, si deseas compartir comentarios técnicos sobre la extensión o hablar sobre cualquier tema relacionado con la ciberseguridad, siempre puedes contactarme en LinkedIn.

Ah, y las otras partes vienen pronto — tenemos unas historias bastante locas preparadas. No se vayan. :D

Saludos, Ozan.