Las campañas de phishing siguen en ascenso

  • Seguridad

APWG, el consorcio internacional de lucha contra el cibercrimen y acaba de hacer público un informe que confirma que las campañas de phishing siguen creciendo. En el segundo trimestre del año el volumen de sitios web de phishing aumentó casi un 50%.

El número de campañas de phishing se ha expandido constantemente en los últimos años, a medida que los ciberdelincuentes atacan tanto a particulares como a corporaciones con estafas de ingeniería social, según el Grupo de Trabajo Anti-Phishing (APWG), coalición internacional que pretende unificar la respuesta global contra el cibercrimen por parte de todo tipo de empresas, públicas y privadas.

La última edición de su informe “Phishing Activity Trends Report” revela que el número de ataques de phishing aumentó en el tercer trimestre de 2019 a un nivel nunca visto desde finales de 2016. El número de marcas atacadas por phishers en el tercer trimestre aumentó un 22% respecto al segundo trimestre, pasando de una media de 313 marcas por mes a 400.

El número total de sitios de phishing detectados por APWG en el tercer trimestre fue de 266.387, lo que representa un aumento del 46% frente a los 182.465 sitios de phishing descubiertos en el segundo trimestre, y casi el doble comparado con los 138.328 vistos en el cuarto trimestre de 2018. Más de dos tercios de todos los sitios de phishing usaron protección SSL. Este fue el porcentaje más alto desde que comenzó el seguimiento a principios de 2015, y es un claro indicador de que los usuarios no pueden confiar solo en SSL para saber si un sitio es seguro o no.

El phishing dirigido a los usuarios de correo web y software como servicio (SaaS) continuó siendo la categoría más grande de phishing. SaaS sigue siendo el área más afectada por el phishing por una razón clara. Y es que obtener credenciales para este servicio en particular permite a los delincuentes realizar ataques de compromiso del correo electrónico corporativo (BEC). El 40% de los ataques BEC utiliza nombres de dominio registrados por los delincuentes, una estrategia utilizada para engañar a las víctimas desprevenidas.

Otros segmentos afectados por la creciente ola de campañas de phishing incluyen almacenamiento en la nube, alojamiento de archivos, comercio electrónico e instituciones financieras.