Guillem Alsina Gonzàlez
Tal y cómo explica este artículo de The Hacker News, el phishing se mantiene como una de las principales ciberamenazas a las que deben hacer frente las empresas, pese a la evolución de las herramientas antimalware. El problema, es que el mismo phishing también ha evolucionado, de manera que las actuales tretas son capaces de eludir los sistemas que protegen, filtrándolo, al correo electrónico, por lo que su detección queda a manos de la intuición de los usuarios.
Otra tendencia que está tomando peso entre los ciberdelincuentes, consiste en la explotación de credenciales de acceso legítimas que han sido robadas. Esta tendencia evidencia que, lejos de explotar fallos técnicos, los atacantes prefieren iniciar sesión como si fueran usuarios legítimos, algo todavía peor para los sistemas de detección, puesto que los pone más en jaque.
Además, el despliegue masivo de aplicaciones en la nube multiplica la cantidad de de cuentas potencialmente expuestas, y a ello se suma la proliferación de MFA-bypassing phishing kits, capaces de eludir códigos SMS, tokens de un solo uso o notificaciones push, ejerciendo una presión constante sobre los sistemas de detección mientras los controles preventivos quedan en entredicho.
La defensa tradicional se ha concentrado en el Secure Email Gateway (SEG) y en el Secure Web Gateway (SWG), dos capas que inspeccionan el tráfico antes de que este alcance al usuario. Consciente de ello, el atacante modifica de forma dinámica dominios, direcciones IP y rutas URL, introduce protecciones tipo CAPTCHA o Cloudflare Turnstile, y altera elementos visuales y del DOM para ocultarse. Al mismo tiempo, recurre a vías alternativas —como la publicidad maliciosa o malvertising— y sortea por completo el canal del correo.
La reputación del remitente, o las firmas DMARC/DKIM, aportan contexto al mensaje, pero no revelan el comportamiento real de la página enlazada. Incluso los motores de análisis de contenido, útiles en fraudes BEC, resultan limitados cuando la amenaza se materializa fuera del cuerpo del correo.
Análisis desde el interior del navegador
La mayoría de los ataques empieza con un enlace que abre una página web en el navegador de la víctima. Sin embargo, los equipos de seguridad siguen inspeccionando el flujo desde fuera. El paralelismo con la evolución del endpoint es evidente: cuando las infecciones locales crecieron a finales de la década de 2000, la industria pasó de buscar firmas a implantar EDR y observar la ejecución en tiempo real. Hoy, el mismo principio se aplica al phishing: la única vista completa está dentro del navegador.
Las páginas de phishing modernas funcionan como aplicaciones dinámicas; JavaScript reescribe código y contenido tras la carga inicial. Con ello, los bloqueos basados en listas negras pierden eficacia, porque los dominios se descartan tan rápido como se crean. Al inspeccionar la página ya renderizada, la detección en el navegador permite evaluar cada componente activo, independientemente de la URL que lo sirva, y extiende la defensa más allá de los obsoletos indicadores de compromiso (IoC).
La extensión del navegador brinda acceso al tráfico HTTP ya descifrado, a las interacciones de teclado y ratón, al historial local y a las cookies activas, lo que facilita una detección basada en tácticas, técnicas y procedimientos (TTP), mucho más resistente a la evasión. Fuera del navegador, la detección suele llegar horas o días después, y depende de análisis humanos y de la propagación de nuevas reglas de bloqueo. Al observar la sesión en directo, la seguridad integrada en el cliente web pasa de la contención post-mortem a la intercepción en tiempo real, cancelando el ataque antes de que el usuario ceda sus credenciales.
Un ejemplo de aplicación: Push Security
La propuesta de Push Security ilustra este cambio de modelo. Su extensión identifica formularios de inicio de sesión, detecta si la contraseña que el usuario escribe ya se empleó en otro servicio, reconoce clones de sitios legítimos y verifica la presencia de un toolkit de phishing. Ante cualquiera de estos indicios, bloquea la interacción y evita el robo de la cuenta.
Para organizaciones que gestionan centenares de aplicaciones SaaS, esta capacidad de inspeccionar la página tal y como la ve el empleado —independientemente del canal por el que llegó el enlace— redefine la estrategia defensiva y reduce el tiempo de exposición a unos segundos.
