Los ciberdelincuentes siempre están buscando nuevas maneras de meterse en los sistemas y robar información. Pero Microsoft ha decidido usar una jugada bastante astuta contra los estafadores de phishing: está creando inquilinos falsos en Azure, diseñados para parecer totalmente reales, con el objetivo de atraer a los ciberdelincuentes. Una vez que caen en la trampa, Microsoft recopila información clave sobre ellos.
Con esos datos en mano, pueden mapear cómo funciona la infraestructura maliciosa, entender mejor cómo operan las campañas de phishing más sofisticadas y, lo mejor de todo, interrumpirlas a gran escala. Además, este enfoque les permite identificar a los criminales detrás de estos ataques y ponerles muchas más trabas en su camino.
Esta estrategia tan ingeniosa y el impacto que está teniendo en la lucha contra el phishing fueron presentados por Ross Bevington, un ingeniero principal de seguridad en Microsoft, en la conferencia BSides Exeter. Con buen humor, se autodenominó "el jefe del engaño" en Microsoft, y claramente lo está haciendo muy bien.
Bevington montó un "honeypot híbrido de alta interacción" en el ya desaparecido code.microsoft.com para atrapar y estudiar a todo tipo de atacantes, desde cibercriminales amateurs hasta grupos más serios respaldados por estados. El objetivo era recopilar información valiosa sobre cómo operan cuando intentan atacar la infraestructura de Microsoft. ¡Básicamente, era una trampa para pillarlos en acción!
Podría interesarte leer: ¿Cómo proteger tu empresa con HoneyPots?: Defensa Activa
La Ilusión del Éxito en los Ataques de Phishing
Bevington y su equipo están haciendo algo bastante ingenioso para combatir el phishing: usan técnicas de engaño, creando inquilinos completos de Microsoft como honeypots. Estos inquilinos parecen auténticos, con nombres de dominio personalizados, miles de cuentas de usuario y actividades "normales" como comunicaciones internas y compartición de archivos.
La idea tradicional de un honeypot es configurarlo y luego esperar pacientemente a que los atacantes lo encuentren y caigan en la trampa. Además de distraer a los malos de los sistemas reales, los honeypots también permiten recopilar información sobre cómo intentan violar los sistemas, lo que después ayuda a mejorar la seguridad de la red legítima.
Pero lo que hace Bevington es diferente: en lugar de sentarse a esperar, su equipo lleva el juego a los atacantes. En su presentación en BSides Exeter, Bevington explicó que ellos buscan activamente sitios de phishing que han sido detectados por Microsoft Defender y, en lugar de bloquearlos de inmediato, ingresan las credenciales de los inquilinos falsos para que los atacantes las utilicen.
Estas credenciales no están protegidas por autenticación de dos factores, y los inquilinos están llenos de información falsa que parece totalmente legítima. Los atacantes creen que tienen una entrada fácil y empiezan a husmear, sin darse cuenta de que han caído en una trampa.
Microsoft afirma que monitorean unos 25,000 sitios de phishing al día y les dan estas credenciales de honeypots al 20% de ellos, mientras que el resto son bloqueados por otros mecanismos, como CAPTCHA. En aproximadamente el 5% de los casos, los atacantes terminan usando esas credenciales falsas y se les empieza a rastrear de inmediato.
Cuando los atacantes ingresan a los inquilinos falsos, cada movimiento que hacen es registrado con todo detalle. Microsoft no solo aprende qué tácticas y herramientas utilizan, sino que también recopila datos como direcciones IP, navegadores que usan, ubicación geográfica, si están utilizando VPN o VPS, y qué kits de phishing están usando para ejecutar sus ataques.
Para hacerlo aún más frustrante para los atacantes, cuando intentan interactuar con las cuentas falsas, Microsoft ralentiza las respuestas al máximo, haciéndoles perder aún más tiempo. Básicamente, los ciberdelincuentes creen que están avanzando, pero en realidad solo están regalando su información y ayudando a Microsoft a mejorar sus defensas.
"Microsoft crea alrededor de 2 de estos inquilinos por mes, cada uno de ellos con 20 000 cuentas de usuario. Microsoft alerta a unos 400 usuarios por día de que han sido comprometidos. Todos ellos están bajo los esfuerzos de investigación del Centro de Inteligencia de Amenazas de Microsoft y se los conoce como "Red de Engaño de Microsoft" o "Red de Sensores". La inteligencia reunida aquí permite a Microsoft hacer una variedad de cosas para proteger a los clientes.
Una de las más relevantes es crear una capacidad mejor y más sólida para detectar y bloquear correo electrónico malicioso en nuestros sistemas Defender. Con esta inteligencia hemos bloqueado más de 40 000 conexiones que acceden a los recursos de Microsoft. Los actores de amenazas siempre están cambiando y evolucionando sus técnicas, para defendernos de ellos, utilizamos este tipo de herramientas y esfuerzos de investigación para mejorar nuestra capacidad de proteger a los clientes y detener la actividad de los actores de amenazas."
Sherrod DeGrippo, Director de Estrategia de Inteligencia de Amenazas.
Podría interesarte leer: Top de 5 Estafas con Inteligencia Artificial en 2024
Hoy en día, la tecnología de engaño de Microsoft puede hacer que un atacante pierda hasta 30 días antes de darse cuenta de que ha entrado en un entorno falso. Durante ese tiempo, Microsoft está recolectando un montón de datos valiosos que luego otros equipos de seguridad pueden usar para crear mejores defensas y perfiles más detallados de los ciberdelincuentes.
Según Bevington, menos del 10% de las direcciones IP que logran recopilar coinciden con datos de otras bases de amenazas conocidas, lo que significa que están descubriendo información nueva sobre los atacantes.
Este método permite reunir suficiente inteligencia como para vincular los ataques a grupos con motivaciones financieras o incluso a actores patrocinados por estados, como el grupo ruso Midnight Blizzard (también conocido como Nobelium).
Aunque el concepto de engaño para defender activos no es nuevo, y muchas empresas ya usan honeypots o "objetos canarios" para detectar intrusos, Microsoft ha llevado esto a otro nivel. Están usando su infraestructura para no solo atrapar a los hackers, sino también aprender más sobre sus métodos y atacarlos a escala.
