theNet by CLOUDFLARE


Si alguna vez has sido blanco de un ataque, volverás a serlo

Después de un ciberataque, la primera reacción de los ejecutivos suele ser la búsqueda introspectiva del "por qué". ¿Por qué los ciberdelincuentes me han elegido a mi, a nuestra organización, a esta cultura como objetivo? La verdad es que cuesta entenderlo. No hay duda de las motivaciones normales, tales como el beneficio económico, el robo de propiedad intelectual, el espionaje corporativo, el sabotaje, la fama o el activismo político. Pero, ¿por qué yo? ¿Por qué nosotros?

La mayoría de los ciberataques no son especialmente sofisticados en su uso de la informática avanzada o la mecánica cuántica. Pueden ser ingeniosos en su capacidad para parecer auténticos o conmover a los usuarios. Pero, en realidad, los ciberataques forman parte de una cadena de montaje rudimentaria, y puede que tu organización haya sido el último objetivo de una secuencia interminable.

Se puede constatar con frecuencia que en 9 de cada 10 ciberataques, la causa principal del daño puede estar relacionada con el phishing. En pocas palabras, el phishing es un intento de conseguir que alguien realice una acción que, sin darse cuenta, provoca daños. La configuración de estos ataques es fácil, y además, son rentables y eficaces. Para organizar campañas de phishing, los atacantes necesitan objetivos humanos, representados por direcciones de correo electrónico. Los atacantes adquieren estas direcciones, las cargan en una base de datos y, a continuación, comienzan a enviar ataques. El objetivo es conseguir clics.

El phishing es más un juego de volumen que de objetivos. Si estás incluido en la base de datos de ataques pasarás a ser un objetivo permanente de cualquier campaña de phishing de ese ciberdelincuente o grupo organizado. Mi experiencia en la Agencia de Seguridad Nacional, y la investigación de mi equipo sobre otros Estados nación, organizaciones delictivas y similares, ha demostrado que los ciberdelincuentes convierten sus operaciones en cadenas de montaje. Distintos equipos se encargan de la selección de objetivos, el lanzamiento y la ejecución, los métodos técnicos utilizados, las actividades sobre el objetivo, el análisis y la explotación posterior a la campaña. No se esfuerzan en optimizar estas cadenas de montaje a lo largo del tiempo, especialmente cuando los atacantes logran lo que buscan.

Los problemas persistentes cuando te conviertes en un objetivo

El equipo de Cloudforce One ha investigado a fondo cómo una campaña de phishing relativamente sencilla puede causar graves daños a numerosas organizaciones a largo plazo. Investigamos una campaña de ataque lanzada el día después de las elecciones presidenciales estadounidenses de 2016 por un grupo de espionaje ruso al que denominamos RUS2, cuyo objetivo son organizaciones políticas.

Mientras recomponíamos la base de datos de los objetivos, descubrimos que los objetivos de phishing incluían no solo a funcionarios gubernamentales actuales, sino también a antiguos funcionarios y asociados políticos. Los objetivos siguieron recibiendo correos electrónicos de phishing a través de sus direcciones de correo electrónico personales mucho después de cambiar de trabajo. Algunas personas llevaban en la base de datos casi 10 años en el momento del ataque de 2016, y siguen siendo objetivos en la actualidad.

Prevención de daños graves con Zero Trust

Aquí es donde la cosa se pone interesante.

Los nombres, números de teléfono y direcciones de correo electrónico afectados permanecen indefinidamente en las bases de datos de phishing. Tanto si los correos electrónicos son devueltos como si los destinatarios no caen en la trampa, los atacantes no se molestan en sacarlos de sus listas. Una vez que te conviertes en objetivo de un ataque de phishing, puedes seguir siéndolo indefinidamente.

Para las empresas y los organismos públicos, la persistencia de la información de contacto en las bases de datos de phishing añade peligros adicionales. Cuando un objetivo cambia de trabajo, esa persona pone en peligro a su nueva organización, ya que abre un nuevo vector a su red.

Dada la facilidad y efectividad del phishing, los ciberdelincuentes seguirán utilizando esta táctica en un futuro previsible porque es eficaz. No hay mucho que podamos hacer para impedir que lo intenten, pero podemos evitar que consigan su misión.

Tenemos que asumir que este riesgo estará siempre presente y que cada individuo es un punto de entrada potencial.

Durante los últimos 20 años de mi carrera profesional, en los que he trabajado en la Agencia de Seguridad Nacional y el Comando Cibernético de los Estados Unidos, y he desarrollado tecnología utilizada para prevenir ataques de phishing, he descubierto que la mejor manera de mitigar el impacto de las estafas de phishing es adoptar una estrategia de seguridad Zero Trust. La seguridad tradicional de las redes informáticas confía en cualquier usuario y dispositivo dentro de la red, y una vez que logran acceder a la red, se confía en ellos por defecto.

Con Zero Trust, no confías en nada ni en nadie. Nadie tiene nunca un acceso ilimitado y fiable a todas las aplicaciones u otros recursos dentro de una red.

El mejor enfoque Zero Trust tiene múltiples capas. Por ejemplo, como primera línea de defensa, puedes buscar preventivamente infraestructuras de phishing y bloquear campañas antes de que los usuarios puedan siquiera hacer clic en enlaces maliciosos de textos o correos electrónicos. También puedes utilizar la autenticación multifactor (MFA) con seguridad basada en hardware para proteger las redes, incluso si los ciberdelincuentes obtienen acceso a los nombres de usuario y contraseñas. Puedes aplicar el principio de privilegios mínimos para garantizar que los hackers que sorteen los controles MFA solo puedan acceder a un conjunto limitado de aplicaciones. Además, puedes dividir la red con microsegmentación para contener cualquier fuga en fases tempranas.

Prueba por ti mismo la eficacia de la seguridad multicapa

At Cloudflare, we thwarted a phishing attack last year using MFA with hardware security keys as part of our multi-layered zero trust approach. The attack began when a number of employees received a text message that led them to an authentic-looking Okta login page, which was designed for credential harvesting. The attacker attempted to log in to Cloudflare systems using those stolen credentials along with time-based one-time password (TOTP) codes—the attack required that employees participate in the authentication process. Unfortunately for the attacker, Cloudflare had previously transitioned from TOTP to hard keys.

If the hard keys hadn’t been in place, other security measures would have prevented the attack from reaching its objective but, fortunately, the threat didn’t get that far. Our Security Incident Response team quickly blocked access to the domain used for the fake login page and then killed active, compromised sessions using our zero trust network access service. If the attacker had somehow reached the point of installing malicious software, the endpoint security we use would have stopped the installation. A multi-layered strategy like this one helps to ensure that even if one aspect of an attack is successful, the attack itself won’t cause substantial damage.

Cómo sacar ventaja a los atacantes

Los ciberataques alcanzan muy rápido a sus objetivos, pero si te paras a pensar, no evolucionan realmente de forma significativa.

¿Cómo evitar que logren su cometido?

En primer lugar, asegúrate de que tus controles contra el phishing son sólidos. No todos los controles de MFA tienen el mismo nivel de eficacia, así que asegúrate de adoptar uno resistente al phishing e implementa una aplicación selectiva mediante políticas centradas en la identidad y el contexto. Aplica un sistema de autenticación seguro en todas partes para todos los usuarios y aplicaciones, incluso en los sistemas heredados y no web. Por último, asegúrate de que todo el mundo está en el "equipo cibernético". Para ello, implementa una cultura basada en la suspicacia, sin buscar culpables, e insta a los usuarios a informar de las actividades sospechosas desde el primer momento y con frecuencia.

Poco podemos hacer para evitar el phishing, pero mucho para prevenir los daños. Con un enfoque Zero Trust, puedes ayudar a garantizar que la próxima vez que la cadena de phishing envíe un correo electrónico a tu dirección, no cause ningún daño. Más información sobre la plataforma multicapa Cloudflare Zero Trust.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Descubre cómo avanzar hacia la seguridad Zero Trust y aprende a proteger tu organización de las consecuencias de los ataques de phishing en el informe "Guía paso a paso para implementar la arquitectura Zero Trust".

Autor

Oren Falkowitz — @orenfalkowitz
Exdirector de seguridad, Cloudflare

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Una vez el atacante accede tu información personal, se queda en su base de datos de manera indefinida.

  • Los ataques de phishing forman parte de una cadena de montaje rudimentaria.

  • Poco se puede hacer para evitar el phishing, pero mucho para prevenir los daños.

Recursos relacionados


¿Quieres recibir un resumen mensual de la información más solicitada de Internet?

Suscríbete a theNET

CÓMO EMPEZAR

SOLUCIONES

SOPORTE

CONFORMIDAD

INTERÉS PÚBLICO

EMPRESA

© 2026 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca