Phishing con archivos PDF: cómo los atacantes se aprovechan de los archivos adjuntos de los correos electrónicos

Por qué los archivos PDF adjuntos son un vector de phishing

Los archivos PDF inspiran una confianza implícita que otros tipos de archivos no tienen. Se asocian con documentos oficiales y definitivos. Un PDF procedente de un proveedor, un banco o un departamento interno no despierta sospechas: parece un documento oficial.

Los atacantes se aprovechan deliberadamente de esa confianza. Al insertar contenido malicioso en un PDF, se valen del hecho de que a la mayoría de los filtros les resulta mucho más difícil analizar el contenido de los archivos adjuntos que el del cuerpo del correo electrónico.

Técnicas de phishing con archivos PDF

phishing mediante archivos PDF utilizan varias técnicas para distribuir cargas maliciosas:

• Enlaces incrustados: los atacantes incluyen hipervínculos dentro de los archivos PDF que redirigen a los destinatarios a páginas diseñadas para robar credenciales o que activan la descarga de malware. A diferencia de los enlaces que aparecen en el cuerpo del correo electrónico, estos no suelen ser detectados por los filtros que analizan las URL sospechosas.
• Superposiciones interactivas: los atacantes colocan enlaces sobre elementos del PDF que parecen legítimos, como botones o imágenes. El destinatario cree que está interactuando con el documento de forma normal. Al click le click a un phishing o se activa la descarga de malware.
• Códigos QR: Los atacantes insertan códigos QR que, al escanearlos, redirigen a las víctimas a phishing . Dado que la URL de destino está contenida en el código QR, las herramientas de seguridad del correo electrónico que analizan el texto en busca de enlaces maliciosos no la detectan.

Por qué el phishing mediante archivos PDF elude los filtros habituales

La mayoría de las herramientas de seguridad del correo electrónico analizan el cuerpo del mensaje en busca de contenido malicioso: enlaces sospechosos, phishing típicas phishing y palabras clave marcadas. Los archivos PDF adjuntos plantean un problema diferente. La carga maliciosa se encuentra dentro del archivo, y analizar el contenido de un archivo adjunto es mucho más complicado que analizar el cuerpo del correo electrónico.

La inspección exhaustiva del contenido de los archivos PDF —incluidos los enlaces incrustados y los códigos QR— requiere herramientas más sofisticadas que no todas las empresas han implementado. Los atacantes son conscientes de esta laguna y diseñan sus campañas aprovechando precisamente eso.

La confianza en el remitente agrava el problema. Un phishing que parece proceder de un proveedor conocido o de un equipo financiero interno tiene muchas más probabilidades de ser abierto que uno procedente de una dirección desconocida. Cuando el remitente parece legítimo, los destinatarios suelen abrir los archivos adjuntos sin sospechar nada.

Esa combinación —un correo electrónico de aspecto impecable y un remitente de confianza— es lo que hace que esta técnica de ataque sea eficaz.

Qué deben hacer las empresas

• Aplicar una política de p=reject. Modo de supervisión (p=none) ofrece visibilidad, no protección. Cambia los dominios a aplicación total, no solo dominio principal.
• Asegúrate de que SPF DKIM correctamente configurados y sincronizados. DMARC depende de DKIM SPF DKIM . Unos registros mal configurados pueden impedir que la política funcione, independientemente del valor que se haya establecido para p=.
• Supervisa los dominios similares. Los atacantes que tienen como objetivo a tu organización suelen registrar dominios muy parecidos a los tuyos, sustituyendo letras, añadiendo guiones o utilizando dominios de nivel superior diferentes. La supervisión continua de los dominios similares permite detectar las campañas con antelación, antes de que lleguen a las bandejas de entrada.
• implementar filtro de red que inspeccione el contenido de los archivos adjuntos. El filtrado básico de contenidos no es suficiente. Utilice un filtro que realice una inspección exhaustiva de los archivos PDF adjuntos.
• Imparte cursos phishing que incluyan las amenazas relacionadas con los archivos adjuntos. La mayoría de los programas de sensibilización se centran en los enlaces sospechosos que aparecen en el cuerpo de los correos electrónicos. Asegúrate de que la formación abarque los hipervínculos y los códigos QR que se encuentran en los archivos adjuntos.

La realidad operativa

Las grandes empresas que gestionan infraestructuras de envío de correo electrónico en múltiples departamentos, regiones y plataformas SaaS se enfrentan a un problema cada vez mayor. Cada herramienta que envía correos electrónicos en su nombre —sistemas de marketing, CRM, software de facturación— representa una posible brecha de autenticación. Cuando SPF DKIM correctamente configurados para cada remitente autorizado, esas brechas crean oportunidades de suplantación de identidad que los atacantes pueden aprovechar y, de hecho, aprovechan.

Los equipos de seguridad y de TI no tienen la capacidad de auditar manualmente a todos los remitentes. Aparecen remitentes no autorizados. Se acumulan las desviaciones en la autenticación. Sin una visibilidad continua, los problemas suelen pasar desapercibidos hasta que se convierten en problemas reales.

phishing mediante archivos PDF phishing una amenaza real y cada vez mayor. DMARC un control fundamental que bloquea un punto de entrada crítico del que se valen los atacantes. Si se combina con Lookalike Domain Defense, Breach Detectiony el filtrado a nivel de red mejora su postura de seguridad.

Las empresas que no han implementado DMARC vulnerables a la suplantación de dominios, lo que permite a los atacantes hacer que phishing y los archivos PDF que contienen parezcan fiables. Descubre cómo Sendmarc te ayuda a cerrar esa brecha.