MokN capta 15 millones de dólares para su innovadora plataforma de defensa activa contra phishing

Introducción

La startup de ciberseguridad MokN ha anunciado la obtención de 15 millones de dólares en una ronda de financiación destinada a escalar su plataforma de defensa activa contra campañas de phishing. Esta solución, que se posiciona en la frontera de la seguridad ofensiva y defensiva, utiliza puntos de acceso señuelo diseñados para atraer a actores maliciosos y obtener información crítica sobre credenciales comprometidas, permitiendo a los equipos de seguridad anticiparse a potenciales abusos. Esta noticia marca un hito en la tendencia creciente hacia la ciberdecepción y el uso de honeypots avanzados como herramientas proactivas para la protección de infraestructuras empresariales.

Contexto del Incidente o Vulnerabilidad

El phishing sigue constituyendo una de las principales amenazas para las organizaciones, responsable de más del 80% de las brechas de seguridad relacionadas con credenciales, según datos recientes del Verizon Data Breach Investigations Report 2024. Los atacantes perfeccionan constantemente sus técnicas, empleando vectores como correos electrónicos, aplicaciones de mensajería y falsificación de redes Wi-Fi para engañar a empleados o explotar debilidades en la cadena de suministro.

Ante este panorama, las soluciones tradicionales de filtrado y formación de usuarios han resultado insuficientes para frenar el avance de ataques sofisticados, lo que ha impulsado el desarrollo de estrategias de ciberdecepción y plataformas de “phish-back”, como la propuesta por MokN.

Detalles Técnicos

La plataforma de MokN se basa en el despliegue automatizado de puntos de acceso Wi-Fi señuelo (decoy access points), configurados para simular redes legítimas dentro de entornos corporativos, zonas públicas o infraestructuras críticas. Estos puntos señuelo utilizan configuraciones que imitan a la perfección el SSID, la autenticación y encriptación de las redes reales, engañando a los atacantes o a dispositivos comprometidos para que intenten autenticarse.

Cuando un actor malicioso interactúa con estos señuelos, la plataforma recopila telemetría avanzada, como intentos de autenticación, hashes de credenciales (por ejemplo, NTLM, MSCHAPv2), tokens de sesión y patrones de comportamiento, junto con metadatos de dispositivos y localización. Esta información puede correlacionarse con bases de datos de amenazas conocidas y sistemas SIEM para alertar a los equipos SOC en tiempo real.

MokN integra técnicas de TTP reconocidas en el marco MITRE ATT&CK, como la T1557 (Adversary-in-the-Middle), T1189 (Drive-by Compromise) o T1040 (Network Sniffing), y genera Indicadores de Compromiso (IoC) explotables por herramientas de Threat Intelligence. Además, la plataforma soporta integración con frameworks de automatización y respuesta como SOARs, facilitando la orquestación defensiva.

Impacto y Riesgos

La implantación de honeypots avanzados y puntos de acceso señuelo permite a las organizaciones identificar credenciales comprometidas y mapear vectores de ataque antes de que los atacantes consigan acceso real a los sistemas corporativos. Según estudios de mercado, las empresas que emplean soluciones de ciberdecepción reducen en un 35% el tiempo medio de detección de intrusiones y disminuyen los daños colaterales asociados a brechas de identidad.

No obstante, la adopción de estas tecnologías implica riesgos inherentes, como la posible exposición accidental de datos o la generación de falsos positivos si los señuelos no están correctamente segmentados del entorno de producción. Además, el almacenamiento y procesamiento de información relacionada con credenciales exige un cumplimiento estricto de normativas como el GDPR y la Directiva NIS2, especialmente en lo relativo a privacidad y conservación de logs.

Medidas de Mitigación y Recomendaciones

Para maximizar la efectividad y minimizar los riesgos de plataformas como MokN, se recomienda:

– Segmentar adecuadamente los puntos señuelo de las redes productivas y monitorizar el tráfico generado.
– Integrar la solución con sistemas SIEM/SOAR para respuesta automatizada ante IoCs detectados.
– Validar la legitimidad de los intentos de autenticación capturados antes de iniciar acciones de contención.
– Actualizar periódicamente la configuración de los señuelos para evitar su identificación por parte de actores avanzados.
– Garantizar el cumplimiento de normativas de protección de datos, implementando cifrado robusto y políticas de retención mínimas.
– Formar a los equipos SOC y de respuesta ante incidentes en el análisis de telemetría procedente de entornos de ciberdecepción.

Opinión de Expertos

Expertos del sector como David Barroso, CEO de CounterCraft, destacan que “la ciberdecepción está dejando de ser una tecnología de nicho para convertirse en un componente esencial de la defensa en profundidad, especialmente frente a amenazas internas y ataques de phishing dirigidos”. Desde la perspectiva de los CISOs, la posibilidad de anticiparse al abuso de credenciales añade una capa de inteligencia proactiva que complementa las herramientas tradicionales de prevención.

Implicaciones para Empresas y Usuarios

La inversión en plataformas como la de MokN refleja la creciente preocupación de las organizaciones por blindar la identidad digital y reducir la superficie de ataque asociada a credenciales. Para las empresas, supone una oportunidad de adelantarse a los atacantes y cumplir con los requisitos de notificación temprana de incidentes impuestos por la NIS2 y otras normativas europeas. Para los usuarios, aunque la exposición a puntos de acceso señuelo no implica riesgos directos, sí pone de relieve la necesidad de mantener buenas prácticas de autenticación y uso responsable de redes inalámbricas.

Conclusiones

La financiación de 15 millones de dólares obtenida por MokN subraya el auge de las tecnologías de ciberdecepción y su papel clave en la protección frente a amenazas de phishing y robo de credenciales. La integración de estas soluciones en el arsenal defensivo de las organizaciones permitirá reducir el tiempo de detección y mejorar la resiliencia frente a ataques cada vez más sofisticados, siempre que se gestionen adecuadamente los riesgos regulatorios y operativos asociados.

(Fuente: www.securityweek.com)