La nueva ola de phishing de credenciales: ciberdelincuentes aprovechan creadores web con IA

Introducción

En los últimos años, la ciberseguridad se enfrenta a un panorama cada vez más complejo debido al auge de la inteligencia artificial (IA). Si bien los grandes modelos de lenguaje, como GPT-4 o Gemini, han revolucionado la automatización de textos y la personalización de mensajes de phishing, su impacto directo aún era limitado. Sin embargo, un nuevo fenómeno está ganando terreno: el uso de creadores de páginas web impulsados por IA para orquestar campañas de phishing de credenciales a gran escala. Empresas de ciberseguridad como Proofpoint alertan de que esta tendencia está bajando la barrera de entrada y permitiendo a actores menos experimentados desplegar infraestructuras de phishing sofisticadas y difíciles de detectar.

Contexto del Incidente o Vulnerabilidad

Históricamente, el phishing ha sido uno de los vectores de ataque más prolíficos y efectivos. Las campañas tradicionales dependían de la capacidad del atacante para diseñar sitios web falsos convincentes, lo que requería conocimientos técnicos y tiempo. Sin embargo, el desarrollo de plataformas de creación de páginas web asistidas por IA, como Wix ADI, Durable, 10Web o Site123, está permitiendo que ciberdelincuentes creen clónicos de portales legítimos en cuestión de minutos y sin apenas conocimientos de HTML, CSS o JavaScript.

Según el último informe de Proofpoint, durante el primer trimestre de 2024 se ha observado un aumento significativo —superior al 35% respecto al año anterior— en el uso de estos servicios para alojar campañas de phishing orientadas a la recopilación de credenciales. Los atacantes registran cuentas en estos servicios, generan páginas web fraudulentas y aprovechan tanto la infraestructura como los certificados SSL gratuitos que ofrecen las plataformas para aumentar la credibilidad de sus campañas.

Detalles Técnicos

La nueva modalidad de phishing de credenciales explota la automatización y personalización que ofrecen los creadores web con IA. Los actores de amenazas seleccionan una marca objetivo —por ejemplo, plataformas bancarias, redes corporativas con SSO, o servicios de correo empresarial como Microsoft 365— y configuran en minutos un sitio visualmente idéntico al original. La IA se encarga de replicar elementos gráficos, formularios de login y textos legales, dificultando la identificación de la falsificación incluso para usuarios experimentados.

En muchos casos, se emplean dominios que incluyen variantes homoglifas o typosquatting, y los emails de phishing se distribuyen empleando técnicas de spear phishing, BEC (Business Email Compromise) o phishing masivo. Los correos, generados también mediante IA, utilizan técnicas de ingeniería social avanzadas.

CVE y vectores de ataque: Aunque no hay una vulnerabilidad CVE específica asociada a esta tendencia, el vector de ataque corresponde a la T1566 (Phishing) del framework MITRE ATT&CK, combinada con T1583.006 (Obtain Capabilities: Web Services) al abusar de servicios legítimos de creación y alojamiento web.

Indicadores de compromiso (IoC) identificados por Proofpoint y otros investigadores incluyen URLs con patrones de generación automática, subdominios de plataformas como .wixsite.com, .durable.site o .site123.me, y formularios que envían datos a servidores controlados por los atacantes mediante técnicas como HTTP POST o webhooks obfuscados.

Impacto y Riesgos

El principal riesgo reside en la facilidad y velocidad con la que pueden desplegarse nuevas campañas de phishing de credenciales. Esto incrementa la tasa de éxito de los ataques, ya que las páginas fraudulentas evaden con mayor frecuencia los controles de los navegadores y los motores antiphishing tradicionales debido a la reputación de los dominios de origen.

La afectación, según la consultora, se estima en torno al 20-25% de las organizaciones del sector financiero, educativo y sanitario en Europa, con pérdidas económicas medias de más de 120.000 euros por incidente relacionado con robo de credenciales y acceso no autorizado.

Adicionalmente, la rápida rotación de dominios y la facilidad para modificar la apariencia de los sitios dificulta la elaboración de listas negras efectivas y la detección temprana por parte de los equipos SOC.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de esta amenaza emergente, los equipos de ciberseguridad deben reforzar sus estrategias de defensa en profundidad. Se recomienda:

– Implementar autenticación multifactor (MFA) robusta en todas las aplicaciones críticas.
– Desplegar soluciones avanzadas de filtrado de correo y análisis de URL en tiempo real, con capacidades de sandboxing para detectar páginas fraudulentas aún no catalogadas.
– Actualizar los playbooks de respuesta ante incidentes para incluir la monitorización de servicios de creación web asistidos por IA como posibles fuentes de ataques.
– Educar a los usuarios sobre la detección de sitios fraudulentos, haciendo hincapié en la comprobación de URLs y certificados.
– Colaborar con los proveedores de servicios de creación web para mejorar los procesos de detección y eliminación de páginas maliciosas.

Opinión de Expertos

Especialistas como Pablo San Emeterio, CISO de Telefónica Tech, advierten: “Estamos ante un punto de inflexión. Los servicios legítimos de creación de páginas web con IA están siendo instrumentalizados por actores maliciosos que, hasta hace poco, no disponían de los recursos técnicos. Es fundamental que la industria trabaje de forma conjunta para abordar este nuevo vector de amenaza”.

Implicaciones para Empresas y Usuarios

Desde la perspectiva de cumplimiento normativo, incidentes de este tipo pueden suponer violaciones graves del GDPR, especialmente si se produce acceso no autorizado a datos personales o credenciales. La inminente entrada en vigor de NIS2 obligará a empresas de sectores críticos a fortalecer sus controles de acceso y monitorización, así como a notificar brechas de seguridad en plazos muy reducidos.

Para los usuarios finales, el riesgo de robo de identidad y acceso a información confidencial se multiplica, ya que la profesionalización de las páginas de phishing eleva las probabilidades de engaño.

Conclusiones

El uso de creadores de páginas web con IA por parte de ciberdelincuentes marca una nueva etapa en la evolución del phishing de credenciales. La automatización, el realismo gráfico y la facilidad de despliegue están incrementando tanto el volumen como la sofisticación de los ataques. Ante este escenario, es imprescindible que los equipos de ciberseguridad actualicen sus estrategias, fortalezcan los controles técnicos y refuercen la concienciación de los usuarios para hacer frente a una amenaza en constante evolución.

(Fuente: www.cybersecuritynews.es)