Phishing dinámico: el fraude digital que simula ser real y evade filtros

Con el avance de la tecnología, también evolucionan las amenazas digitales. ESET, compañía especializada en ciberseguridad, alerta sobre una técnica cada vez más común entre los ciberdelincuentes: el phishing dinámico, una modalidad que aprovecha servicios legítimos para hacer más creíbles sus engaños.

A diferencia del phishing tradicional, en el que se clonan páginas web de forma estática, el phishing dinámico importa logotipos y personaliza formularios en tiempo real, generando páginas falsas que resultan prácticamente indistinguibles de las oficiales. El objetivo: obtener contraseñas, datos bancarios y credenciales corporativas o personales de forma fraudulenta.

“El engaño comienza con un correo electrónico aparentemente oficial, que redirige a un sitio de login falso. La diferencia es que este sitio personaliza la experiencia según la empresa objetivo: muestra su logotipo y, en algunos casos, hasta precarga el correo de la víctima, lo que refuerza la sensación de autenticidad”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

La técnica utiliza servicios como Clearbit para insertar automáticamente los logotipos en la página de inicio de sesión falsa. Al introducir sus datos, la víctima envía su información directamente a los atacantes mediante tecnología AJAX, quienes luego la redirigen al sitio oficial, evitando levantar sospechas.

Este tipo de ataques han sido detectados por el equipo de RiskIQ, quienes señalan herramientas como LogoKit, que permiten montar sitios falsos con apariencia profesional en cuestión de minutos. Además, los delincuentes aprovechan servicios como Firebase, Oracle Cloud o GitHub para alojar sus campañas, lo que dificulta su detección por parte de los filtros de seguridad tradicionales.

Otra táctica que utilizan es el abuso de redirecciones abiertas en plataformas confiables, lo que les permite esconder enlaces maliciosos detrás de URLs aparentemente seguras.

Desde ESET recomiendan a las organizaciones y usuarios implementar medidas como el segundo factor de autenticación (MFA) y reforzar la capacitación en ciberseguridad, ya que, como advierte Gutiérrez Amaya, “el phishing dinámico es un recordatorio claro de que los ciberdelincuentes están aprovechando las mismas tecnologías que usamos para mejorar la experiencia del usuario, pero con fines maliciosos”.