AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### “Ghost Phishing”: Nueva campaña EvilTokens desafía la detección en entornos corporativos

#### Introducción

Una sofisticada campaña de phishing, identificada como “EvilTokens”, está poniendo en jaque la seguridad del correo electrónico en empresas de Estados Unidos y Europa. La técnica, bautizada como “ghost phishing”, introduce una innovadora capa de evasión que permite a los atacantes sortear los controles tradicionales y desplegar páginas maliciosas solo en el momento oportuno, una vez abiertas en el navegador de la víctima. Este método plantea un serio desafío para los equipos de seguridad y pone en riesgo activos críticos, especialmente en organizaciones que dependen de Microsoft 365 para la gestión documental y el correo electrónico corporativo.

#### Contexto del Incidente

Desde principios de 2024, analistas de amenazas han reportado un aumento significativo en campañas de phishing dirigidas a empleados de medianas y grandes empresas, con especial foco en sectores financiero, legal y tecnológico. EvilTokens representa la evolución de las tácticas de phishing tradicional, dejando obsoletos los mecanismos de inspección de URLs implementados en gateways y filtros anti-phishing convencionales.

A diferencia de campañas anteriores, donde la URL maliciosa era detectable por patrones conocidos o por listas negras, el “ghost phishing” mantiene oculta la carga útil hasta que el usuario objetivo interactúa con el enlace. Esto ha permitido a los atacantes aumentar la tasa de éxito de sus campañas y evadir la mayoría de las soluciones de protección de correo electrónico basadas en reglas estáticas o sandboxing.

#### Detalles Técnicos

La técnica de “ghost phishing” utilizada en EvilTokens se apoya en la encriptación y desencriptación dinámica del contenido malicioso. El correo electrónico contiene un enlace aparentemente benigno. Al hacer clic, el usuario es redirigido a una página intermedia que no muestra indicios de actividad sospechosa, eludiendo así los análisis automáticos y manuales de los equipos SOC.

Solo cuando la página detecta que está siendo abierta en un entorno de usuario real —por ejemplo, mediante fingerprinting del navegador o detección de entornos sandbox—, descarga y desencripta el contenido de phishing en tiempo real. Esta desencriptación suele realizarse en el lado cliente mediante JavaScript ofuscado, cargado desde un CDN comprometido o desde servicios legítimos abusados, como GitHub o Dropbox.

Los TTPs (Tactics, Techniques and Procedures) identificados se alinean con las técnicas MITRE ATT&CK T1566.002 (Phishing: Spearphishing Link) y T1027 (Obfuscated Files or Information). Los Indicadores de Compromiso (IoC) incluyen URLs efímeras, dominios recién registrados y cadenas de JavaScript ofuscadas que solo se desencriptan bajo condiciones específicas.

No se ha identificado aún un CVE específico asociado a la vulnerabilidad explotada, ya que la técnica se basa en la manipulación del flujo de interacción usuario-navegador más que en la explotación directa de una vulnerabilidad de software.

#### Impacto y Riesgos

El principal vector de impacto es la suplantación de credenciales de acceso a Microsoft 365. Una vez capturadas, los atacantes pueden acceder a correos, documentos sensibles y servicios en la nube, facilitando movimientos laterales y escaladas de privilegio. Se han documentado casos donde la respuesta ante incidentes se ha retrasado hasta 48 horas debido a la ausencia de alertas tempranas, permitiendo la exfiltración de grandes volúmenes de información.

El riesgo para las empresas es doble: por un lado, el compromiso de datos sensibles puede conllevar sanciones bajo el RGPD y la inminente directiva NIS2; por otro, la continuidad operativa se ve amenazada ante posibles ataques de ransomware o fraude de pagos.

#### Medidas de Mitigación y Recomendaciones

1. **Implementar soluciones de seguridad con análisis dinámico de contenido web**, capaces de ejecutar y monitorizar scripts en tiempo real, más allá de la inspección estática de URLs.
2. **Actualizar las políticas de filtrado de correo electrónico** para identificar comportamientos anómalos, como enlaces que redirigen a páginas en blanco o que cargan contenido tras la interacción del usuario.
3. **Formación continua a empleados**, enfatizando la detección de señales sutiles de phishing y la importancia de reportar cualquier incidente sospechoso.
4. **Monitorización de logs de acceso a Microsoft 365**, para detectar inicios de sesión anómalos o fuera de horario habitual.
5. **Revisión y endurecimiento de la configuración de autenticación multifactor**, minimizando el impacto de la suplantación de credenciales.

#### Opinión de Expertos

Especialistas de firmas como Mandiant y Dragos subrayan que “el uso de desencriptación en cliente representa una evolución significativa en las campañas de phishing, obligando a las empresas a adoptar tecnologías de defensa basadas en comportamiento y no solo en reputación”. Asimismo, alertan que la tendencia a abusar de servicios legítimos dificulta la trazabilidad y el bloqueo efectivo de los ataques.

#### Implicaciones para Empresas y Usuarios

Para los responsables de ciberseguridad, este tipo de campañas supone la necesidad urgente de revisar los controles de acceso y las estrategias de defensa en profundidad. Las empresas que no actualicen sus mecanismos de detección y respuesta quedan expuestas a brechas graves y a sanciones regulatorias. Los usuarios, a su vez, deben ser conscientes de que la apariencia legítima de un enlace ya no es garantía de seguridad.

#### Conclusiones

La campaña EvilTokens y la técnica de “ghost phishing” marcan un antes y un después en la guerra contra el phishing corporativo. Solo mediante la adopción de soluciones avanzadas y una cultura de ciberseguridad sólida será posible mitigar el impacto de estas amenazas emergentes. La vigilancia activa y la actualización permanente de las capacidades de defensa son, más que nunca, imprescindibles para proteger los activos críticos en el entorno digital actual.

(Fuente: feeds.feedburner.com)