Una campaña reciente de phishing dinámico demuestra cómo los ciberdelincuentes están utilizando herramientas legítimas para crear páginas de inicio de sesión falsas que parecen auténticas, haciendo más difícil detectar el fraude.
El phishing sigue siendo uno de los métodos más utilizados por los ciberdelincuentes para robar información confidencial. Sin embargo, las técnicas evolucionan, y recientemente ha cobrado protagonismo una modalidad más sofisticada: el phishing dinámico. Esta nueva estrategia utiliza servicios externos y personalización en tiempo real para hacer que los sitios falsos sean casi indistinguibles de los verdaderos.
Según advierte la compañía de ciberseguridad ESET, se ha identificado una campaña activa que aprovecha estas técnicas avanzadas para generar correos electrónicos maliciosos que redirigen a páginas de inicio de sesión falsas. Lo novedoso es que estas páginas no son simples réplicas estáticas, sino que se construyen al vuelo, incorporando logotipos reales y datos prellenados del usuario objetivo.
“El engaño empieza con un usual correo electrónico, que contiene un enlace a un sitio web preparado para simular la página oficial de login. Está basado en una página web que permite la personalización dinámica en función de la empresa-objetivo”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Este tipo de ataques explotan servicios legítimos como Clearbit, que permiten obtener logotipos y marcas de empresas públicas. De esta forma, los atacantes pueden personalizar de forma automática el sitio malicioso para que coincida con la identidad visual de la organización objetivo. Además, el sistema puede precargar el correo electrónico del usuario en el formulario falso, reforzando la ilusión de autenticidad.
La técnica se vuelve aún más peligrosa por el uso de tecnologías web modernas como AJAX, que permite enviar la contraseña ingresada directamente a los atacantes en tiempo real, sin levantar sospechas. Una vez que el usuario ha sido engañado, es redirigido al sitio oficial, lo que dificulta que note lo ocurrido.
Un ejemplo concreto de este enfoque es LogoKit, una herramienta que, según el equipo de análisis de ESET, ha sido usada en campañas recientes para montar sitios de phishing falsos en cuestión de minutos. LogoKit permite importar elementos visuales de marcas conocidas, facilitando la creación de formularios maliciosos que lucen oficiales.
ESET también destaca que muchas de estas páginas de phishing se alojan en plataformas en la nube como Firebase, GitHub o incluso Oracle Cloud, lo que complica su detección y eliminación. Asimismo, se aprovechan de vulnerabilidades conocidas como las redirecciones abiertas, que permiten ocultar los enlaces maliciosos dentro de dominios confiables.
El objetivo final de estos ataques es el mismo de siempre: robar credenciales para acceder a cuentas corporativas, bancarias, de redes sociales u otros servicios sensibles. Sin embargo, el nivel de personalización y realismo que ofrece el phishing dinámico eleva el riesgo considerablemente.
“El phishing dinámico es un recordatorio claro de que los ciberdelincuentes continúan evolucionando sus tácticas, utilizando tecnologías inicialmente diseñadas para mejorar la personalización y la experiencia del usuario”, advierte Gutiérrez Amaya. “La vigilancia constante y la implementación de mejores prácticas de seguridad son esenciales para contrarrestar estas amenazas.”
Ante este panorama, ESET recomienda a las organizaciones y usuarios implementar medidas de seguridad adicionales, siendo una de las más eficaces la autenticación multifactor (MFA). Este segundo nivel de verificación puede evitar que las credenciales robadas se utilicen con éxito.
Además, resulta crucial que los empleados y usuarios estén entrenados para identificar señales sospechosas, como URLs con dominios inusuales, errores de redacción en correos electrónicos, o solicitudes de información fuera de los canales habituales. Una cultura de ciberseguridad robusta es el primer escudo frente a ataques cada vez más sofisticados.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
