Microsoft, en colaboración con el Departamento de Justicia de EE. UU., ha desmantelado más de 240 dominios asociados con ONNX, una plataforma de phishing como servicio (PhaaS) utilizada para ejecutar ataques contra empresas y particulares en todo el mundo desde al menos 2017.
De acuerdo con el Informe de Defensa Digital 2024 de Microsoft, ONNX, anteriormente conocido como Caffeine, lideró como el principal servicio de phishing "Adversary in the Middle" (AitM) durante la primera mitad de 2024, enviando decenas de millones de correos electrónicos fraudulentos cada mes. Estos ataques apuntaban principalmente a cuentas de Microsoft 365, pero también afectaban a clientes de otras compañías tecnológicas globales.
Estos kits de "hazlo tú mismo" son responsables de una gran parte de los millones de correos de phishing que Microsoft detecta cada mes. Durante la primera mitad de 2024, ONNX se posicionó como uno de los cinco mayores proveedores de este tipo de operaciones fraudulentas, según datos de Microsoft.
La operación ONNX se dedicaba a vender kits de phishing diseñados para atacar a empresas tecnológicas como Google, Dropbox, Rackspace y Microsoft. Estos kits se ofrecían en Telegram bajo un modelo de suscripción que iba desde planes básicos hasta empresariales, con precios que oscilaban entre $150 y $550 al mes.
Lo más preocupante es que estos ataques estaban automatizados con bots de Telegram e incluían herramientas para evadir la autenticación en dos pasos (2FA). Más recientemente, ONNX dirigió sus esfuerzos contra trabajadores de empresas financieras, como bancos y proveedores de crédito, utilizando una táctica conocida como quishing (phishing a través de códigos QR).
Los correos de phishing incluían archivos PDF con códigos QR maliciosos que redirigían a las víctimas a páginas falsas, diseñadas para parecerse a los portales de inicio de sesión legítimos de Microsoft 365, con el objetivo de robar sus credenciales.
El truco detrás del quishing es que muchas personas escanean estos códigos QR desde sus dispositivos móviles personales, que a menudo también utilizan para trabajar bajo programas como Bring Your Own Device (BYOD). Esto, según una alerta reciente de FINRA, el regulador de la industria de valores en EE. UU., hace que estos ataques sean especialmente difíciles de detectar con los métodos de seguridad tradicionales en los dispositivos corporativos.
Podría interesarte leer: Descubre las Tendencias de Phishing más Impactantes de 2024
Los cibercriminales que usaban ONNX lograron perfeccionar sus ataques de phishing con técnicas avanzadas. Sus kits de phishing no solo burlaban la autenticación de dos factores (2FA) al interceptar las solicitudes, sino que también utilizaban servicios de alojamiento, lo que hacía más difícil que los dominios fraudulentos fueran eliminados rápidamente. Además, incluían código JavaScript cifrado que se descifraba automáticamente al cargar las páginas, dificultando que los sistemas de seguridad detectaran la amenaza.
“Estos ataques son especialmente desafiantes para los proveedores de seguridad porque muchas veces parecen ser imágenes ilegibles para los sistemas de escaneo”, explicó Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft.
El golpe final para ONNX llegó en junio, cuando los investigadores de Dark Atlas expusieron la identidad de su creador, Abanoub Nady, conocido en línea como MRxC0DER. Poco después, Microsoft, mediante una orden judicial en el Distrito Este de Virginia, tomó el control de la infraestructura técnica de ONNX, redirigiendo sus dominios maliciosos y bloqueando permanentemente el acceso de sus operadores y clientes. Según Masada, este movimiento busca no solo interrumpir estas operaciones, sino también aumentar los costos y barreras para que futuros ciberdelincuentes entren en el negocio.
Microsoft no trabajó solo. En esta acción, estuvo acompañado por LF Projects, LLC, propietario de la marca registrada “ONNX”. Además, en los últimos meses, la compañía ha llevado a cabo operaciones similares contra otros grupos de cibercriminales. En octubre, desmantelaron más de 100 dominios utilizados por el grupo ruso ColdRiver FSB en ataques de phishing dirigidos a trabajadores del gobierno estadounidense y organizaciones rusas sin fines de lucro.
Y no es la primera vez que Microsoft toma medidas agresivas. En diciembre pasado, la Unidad de Delitos Digitales de la compañía desarticuló un proveedor de servicios de ciberdelito conocido como Storm-1152, que había registrado más de 750 millones de cuentas de correo electrónico fraudulentas y obtenido ganancias millonarias al venderlas a otros criminales.
Con estas acciones, Microsoft refuerza su postura de disuadir las actividades delictivas en línea y proteger a sus usuarios, dificultando cada vez más que los cibercriminales operen con impunidad.
El phishing es, sin duda, una de las mayores amenazas para las empresas. No es solo un problema de correos fraudulentos, es un ataque directo a lo más sensible: tus datos, tus sistemas y, en última instancia, tu reputación. Y aunque parezca algo técnico, la solución no es solo instalar programas y esperar lo mejor; se trata de crear una estrategia sólida que combine tecnología, educación y una buena dosis de sentido común.
Primero, hablemos de capacitar a tu equipo. Tus trabajadores son la primera línea de defensa, y si ellos no saben detectar un correo sospechoso, ni las mejores herramientas podrán salvarte. Simulaciones de phishing y entrenamientos regulares son esenciales. Esto no solo les ayuda a reconocer los riesgos, sino que crea una cultura donde todos entienden que la seguridad es cosa de todos.
Ahora, la tecnología. Aquí es donde el asunto se pone interesante. No basta con filtros básicos de correo. Necesitas soluciones avanzadas como TecnetProtect, que detecta y bloquea correos maliciosos en tiempo real y analiza el comportamiento de los mensajes para identificar amenazas ocultas. Esta herramienta no solo bloquea lo obvio, sino que también está diseñada para detectar ataques más sofisticados, como aquellos que intentan evadir filtros con enlaces disfrazados o archivos adjuntos aparentemente inofensivos.
Otra arma infalible: la autenticación multifactor (MFA). Con esto, incluso si un atacante consigue robar una contraseña, todavía necesitará esa segunda capa de verificación. Es una barrera simple pero increíblemente poderosa. Además, si tus trabajadores usan dispositivos personales para trabajar (lo que es bastante común hoy en día), asegúrate de implementar herramientas como TecnetProtect, que ayudan a gestionar y proteger esos dispositivos desde un entorno centralizado.
Pero no todo es cuestión de máquinas y tecnología. Crear una cultura de ciberseguridad dentro de tu empresa es igual de importante. Esto significa que todos, desde el CEO hasta el nuevo pasante, deben estar alineados en la idea de que la seguridad no es opcional. Recompensa a quienes reporten correos sospechosos, fomenta la comunicación abierta sobre posibles amenazas y, sobre todo, haz que cada persona se sienta parte de la solución.
Finalmente, no olvides que los ciberdelincuentes no se quedan quietos. Cada día desarrollan nuevas tácticas, como el quishing, que usa códigos QR maliciosos para engañar a las personas y robar sus credenciales. Mantente al día sobre estas tendencias y adapta tus medidas de seguridad constantemente.