1

PRESENTADO POR:

Oscar Orlando Osorio Higuera

Cesar Augusto Cubillos Gallego

Cristian Humberto Rincón Castellanos

Jorge Estiven Medina Cuervo

PRESENTADO A:

Carlos Andres Cabrera Castillo

INGENIERIA DE SISTEMAS

FUNDACIÓN UNIVERSITARIA COMPENSAR

BOGOTA

2024
 3

Análisis Forense de un Ataque de Phishing Dirigido: Desde la Configuración

hasta la Ejecución.

1. IMAGEN 1: Análisis de la Herramienta de Ataque de Phishing.

La simulación de phishing inicia con la utilización de la herramienta Social-Engineer Toolkit

(SET), que es ampliamente reconocida en el ámbito de la seguridad informática por su

capacidad para llevar a cabo ataques de ingeniería social. Esta herramienta permite a los

atacantes diseñar y ejecutar ataques complejos que pueden manipular a las víctimas para que

revelen información confidencial o realicen acciones que comprometan la seguridad de sus

datos.

El uso de SET implica que el atacante está empleando métodos sofisticados para engañar a las

víctimas, lo que aumenta la probabilidad de éxito del ataque. Esta introducción no solo

establece el contexto de la simulación, sino que también enfatiza la seriedad del problema del

phishing, que ha evolucionado con el tiempo para volverse cada vez más efectivo. Es

fundamental que las organizaciones sean conscientes de las herramientas y técnicas que se

utilizan en estos ataques para implementar medidas de defensa adecuadas.

 4

2. IMAGEN 2: Elección de Método de Ataque.

En esta etapa, se observa que el atacante ha elegido el método de "Phishing" como su

enfoque principal. Esta elección es crítica, ya que el phishing se centra en engañar a las

víctimas para que proporcionen información personal o credenciales de acceso a través

de correos electrónicos fraudulentos o sitios web falsos.

El phishing no solo representa una amenaza inmediata, sino que también es un reflejo

de cómo los atacantes pueden aprovechar la confianza de los usuarios en la

comunicación digital. Al elegir este método, el atacante está asumiendo que las víctimas

son susceptibles a las técnicas de manipulación emocional, como el miedo o la

urgencia. Por lo tanto, es esencial que las organizaciones eduquen a sus empleados

sobre cómo identificar los signos de un ataque de phishing, así como sobre las mejores

prácticas para proteger su información personal y profesional.

 5

3. IMAGEN 3: Configuración de Envío Masivo.

La imagen revela que el atacante ha optado por llevar a cabo un ataque masivo mediante la

opción de "Mass Mailer Attack". Esta elección indica que el atacante tiene la intención de

enviar correos electrónicos fraudulentos a un gran número de destinatarios, lo que puede

aumentar significativamente el alcance del ataque.

Sin embargo, el uso de un ataque masivo también plantea la cuestión de la personalización del

mensaje. Aunque puede ser más fácil enviar un gran volumen de correos, la falta de

personalización puede hacer que estos mensajes sean menos efectivos. A medida que las

organizaciones implementan tecnologías de detección de fraudes, los ataques masivos pueden

ser más visibles y, por lo tanto, más propensos a ser bloqueados. Es fundamental que las

empresas estén atentas a estas tácticas y fortalezcan sus sistemas de detección para proteger

a sus empleados de correos electrónicos sospechosos.

 6

4. IMAGEN 4: Análisis de la Selección de Envío Individual.

A pesar de la estrategia inicial de ataque masivo, el atacante ha decidido enviar un correo

electrónico a una sola dirección. Esta acción refleja un enfoque más dirigido y personalizado,

lo que aumenta considerablemente la probabilidad de éxito del ataque.

La elección de un destinatario específico permite al atacante adaptar el mensaje para que sea

más convincente y relevante, aumentando así las posibilidades de que la víctima realice la

acción deseada, como abrir un archivo adjunto o hacer clic en un enlace malicioso. Este

cambio de estrategia sugiere que el atacante ha realizado un reconocimiento previo sobre la

víctima, lo que implica que tiene información relevante sobre su rol en la organización y

potencial acceso a datos sensibles. Por lo tanto, es fundamental que la organización evalúe de

manera urgente el impacto potencial de este ataque y tome medidas preventivas para proteger

a la víctima y los datos asociados.

 7

5. IMAGEN 5: Personalización del Mensaje de Ataque.

La imagen muestra que el atacante ha creado una plantilla de correo electrónico

personalizada. Esta decisión no solo refleja un alto nivel de sofisticación, sino que también

destaca la importancia de la personalización en los ataques de phishing. Un mensaje adaptado

a los intereses y características de la víctima puede ser significativamente más efectivo que un

mensaje genérico.

Al personalizar el contenido del correo, el atacante aumenta las posibilidades de que la víctima

confíe en el mensaje y se sienta inclinada a realizar la acción deseada. Este nivel de

personalización requiere que las organizaciones implementen medidas de seguridad más

robustas, incluyendo la capacitación de los empleados sobre la identificación de correos

electrónicos sospechosos. Las tácticas de ingeniería social continúan evolucionando, lo que

subraya la necesidad de un enfoque proactivo en la formación y concienciación de los

empleados.
 8

6. IMAGEN 6: Uso de Plantillas Predefinidas.

En esta etapa, se observa que el atacante ha optado por utilizar una plantilla de correo

electrónico predefinida. Esta elección facilita la creación del mensaje fraudulento, pero

también puede limitar el nivel de personalización que se puede aplicar.

El uso de plantillas predefinidas indica que el atacante podría estar lanzando un ataque más

generalizado, dirigido a un público más amplio. A pesar de esta limitación, los ataques basados

en plantillas pueden seguir siendo muy efectivos, especialmente si se eligen temas y asuntos

que resuenen con las víctimas potenciales. Las organizaciones deben estar alertas ante este

tipo de tácticas y reforzar la capacitación de sus empleados sobre cómo identificar correos

electrónicos sospechosos, lo que puede ser crucial para prevenir la exposición a amenazas.

7. IMAGEN 7: ESPECIFICANDO EL DESTINATARIO DEL ATAQUE.

La imagen revela que el atacante ha seleccionado un destinatario específico para el correo

electrónico de phishing: jemedina@[Link]. Esta acción indica que el ataque

 9

está dirigido a una persona en particular, lo que puede aumentar significativamente el riesgo

para la organización.

La elección de un destinatario específico sugiere que el atacante puede haber realizado un

reconocimiento sobre esta persona, conociendo su rol y acceso a información crítica. Este tipo

de ataque dirigido presenta un riesgo mayor, ya que las víctimas suelen ser individuos que

tienen acceso a datos sensibles o confidenciales dentro de la organización. Por lo tanto, es

fundamental que la organización evalúe de inmediato el impacto potencial del ataque y tome

medidas para proteger tanto al destinatario como los datos que están en riesgo.

8. IMAGEN 8: Configuración del Ataque de Phishing.

En esta etapa, se revelan detalles cruciales sobre la configuración del ataque. Se utiliza una

cuenta de Gmail comprometida (tattooartjs@[Link]) para enviar el correo de phishing, lo

que sugiere que el atacante ha conseguido acceder a esta cuenta o ha creado una cuenta
 10

falsa. Además, el remitente se hace pasar por Microsoft, lo que aumenta la credibilidad del

mensaje y engaña a las víctimas para que confíen en él.

El atacante ha marcado el mensaje como alta prioridad y ha adjuntado un archivo con la

extensión .ps1, que es un script de PowerShell. Esto indica un alto riesgo de infección si la

víctima ejecuta el archivo. La posibilidad de que la víctima abra un archivo malicioso representa

una amenaza significativa, ya que podría llevar a la instalación de malware que comprometa la

seguridad del sistema. Por lo tanto, es imperativo que las organizaciones implementen medidas

preventivas, como la capacitación del personal sobre la identificación de correos sospechosos y

el uso de soluciones de seguridad efectivas para mitigar estos riesgos.

9. IMAGEN 9: Finalización del Ataque de Phishing.

La simulación concluye con el mensaje que indica que el ataque de phishing ha sido

completado: "[*] SET has finished sending the emails". Este mensaje confirma que el

atacante ha enviado exitosamente los correos electrónicos fraudulentos a los

destinatarios seleccionados, lo que representa un paso crítico en el proceso de ataque.

A partir de este momento, el atacante esperará que las víctimas interactúen con los

correos, lo que podría resultar en la explotación de vulnerabilidades y el acceso a datos

sensibles. La finalización del ataque enfatiza la necesidad de que las organizaciones

implementen sistemas de monitoreo y respuesta rápida para detectar y mitigar este tipo

de amenazas de manera efectiva. Las organizaciones deben estar preparadas para

reaccionar ante cualquier señal de compromiso y deben establecer protocolos claros

para abordar incidentes de seguridad que puedan surgir a partir de un ataque exitoso.