MokN capta 3 millones de dólares para su solución de respuesta activa ante credenciales phishing

Introducción

La ciberseguridad defensiva evoluciona constantemente, pero en los últimos años, la respuesta activa frente a amenazas ha cobrado protagonismo, especialmente ante la sofisticación de los ataques de phishing. En este contexto, la startup francesa MokN ha conseguido una ronda de financiación de 3 millones de dólares para desarrollar y expandir su innovadora solución de “phish-back”. Esta tecnología promete cambiar la forma en que las organizaciones detectan, monitorizan y neutralizan credenciales comprometidas a través de ataques de phishing, incorporando tácticas de engaño y contramedidas en tiempo real para identificar y bloquear el uso malicioso de estos datos antes de que produzcan daños significativos.

Contexto del Incidente o Vulnerabilidad

El phishing sigue siendo uno de los vectores de ataque más prevalentes y efectivos, responsable de un porcentaje elevado de brechas de seguridad a nivel global. Según el último informe de Verizon Data Breach Investigations Report (DBIR), cerca del 36% de los incidentes de seguridad en 2023 tuvieron como punto de entrada el phishing. A pesar de los avances en formación, filtrado de correo y autenticación multifactor, los atacantes continúan perfeccionando sus técnicas de ingeniería social y suplantación de identidad, logrando el robo de credenciales que se emplean posteriormente en ataques de movimiento lateral, escalada de privilegios o exfiltración de datos.

Ante este escenario, las soluciones tradicionales de detección y respuesta se ven limitadas por la velocidad con la que los cibercriminales explotan las credenciales robadas. MokN aborda este problema implementando una estrategia activa de recuperación y neutralización, conocida como “phish-back”, que va más allá de la mera detección para engañar a los actores de amenazas y obtener inteligencia accionable sobre el uso fraudulento de credenciales.

Detalles Técnicos

El núcleo de la solución de MokN se basa en la inserción estratégica de credenciales señuelo (honeypot credentials) o la recuperación de credenciales robadas mediante técnicas de engaño digital. Cuando un atacante utiliza una credencial comprometida, el sistema de MokN detecta el intento y desencadena una serie de acciones automatizadas: recopilación de indicadores de compromiso (IoC), generación de alertas en tiempo real y, en algunos casos, el bloqueo inmediato de la cuenta afectada.

– Vectores de ataque: Phishing vía correo electrónico, smishing, spear-phishing dirigido.
– Técnicas MITRE ATT&CK:
– T1078 (Valid Accounts)
– T1110 (Brute Force)
– T1566 (Phishing)
– Integración con frameworks: La solución puede interactuar con SIEM, SOAR y plataformas de threat intelligence, generando playbooks automáticos para la neutralización de cuentas y la cuarentena de dispositivos.
– Explotación: Aunque no se trata de una vulnerabilidad tradicional con CVE asociada, el sistema se nutre de credenciales previamente comprometidas y obtenidas por los atacantes mediante kits de phishing automatizados o manuales, algunos de los cuales pueden usar frameworks como Evilginx2 para bypass de MFA.

Los indicadores de compromiso recopilados incluyen direcciones IP de los atacantes, fingerprints de dispositivos, patrones de acceso y metadatos asociados, que pueden ser correlacionados con otras actividades maliciosas en el entorno corporativo.

Impacto y Riesgos

La utilización de credenciales robadas es el punto de partida para una gran variedad de ataques, incluyendo ransomware, acceso no autorizado a sistemas críticos y robo de información sensible. La capacidad de detectar el uso fraudulento de credenciales en tiempo real permite a las organizaciones mitigar el riesgo de escalada de privilegios y limitar el impacto de una brecha. Según estimaciones de Forrester, el coste medio de una brecha de credenciales supera los 4 millones de dólares, sin contar los daños reputacionales y sanciones asociadas al incumplimiento normativo (GDPR, NIS2).

Medidas de Mitigación y Recomendaciones

– Implementar soluciones de monitorización activa de credenciales, como MokN, integrándolas con sistemas de gestión de identidades (IAM) y autenticación multifactor.
– Automatizar la respuesta ante incidentes: bloqueo de cuentas, reseteo de contraseñas y cuarentena de dispositivos afectados.
– Actualizar las políticas de formación y concienciación de usuarios, enfocándose en las técnicas modernas de phishing.
– Revisar la arquitectura Zero Trust y segmentar los accesos para minimizar el movimiento lateral tras el robo de credenciales.
– Mantener actualizados los registros de logs y correlacionar eventos con fuentes externas de threat intelligence.

Opinión de Expertos

Varios analistas de ciberseguridad consideran que la estrategia “phish-back” representa un avance significativo frente a la pasividad de la defensa tradicional. “No se trata solo de detectar el robo, sino de obtener inteligencia sobre la infraestructura y los TTPs de los atacantes en tiempo real”, subraya Laurent Hausermann, experto en threat hunting. Otros advierten sobre la necesidad de respetar la legislación vigente en materia de privacidad y protección de datos, especialmente ante la recopilación y tratamiento de información de potenciales atacantes.

Implicaciones para Empresas y Usuarios

Para las empresas, la adopción de soluciones como la de MokN puede suponer una reducción drástica en el “dwell time” de un atacante y limitar el alcance de un incidente de phishing. Los usuarios finales podrían beneficiarse indirectamente gracias a una mayor capacidad de respuesta y menor exposición a brechas masivas. Sin embargo, también implica un reto de integración con los sistemas existentes y la necesidad de una gestión cuidadosa de los datos recopilados, para evitar conflictos con el RGPD y las directivas europeas NIS2 sobre ciberresiliencia.

Conclusiones

La financiación obtenida por MokN pone de relieve la importancia y el interés del mercado en soluciones de respuesta activa ante amenazas de phishing. La combinación de engaño, inteligencia y automatización anticipa una tendencia que probablemente se afianzará en los próximos años, a medida que los ataques basados en credenciales continúen creciendo en volumen y sofisticación. Las organizaciones que adopten este tipo de estrategias estarán mejor preparadas para proteger sus activos y cumplir con los estándares regulatorios actuales.

(Fuente: www.securityweek.com)