El agotamiento del SOC: una nueva táctica en las campañas de phishing
Publicado el
La nueva estrategia del phishing
Las campañas de phishing más peligrosas no se limitan a engañar a los empleados; también buscan desgastar a los analistas encargados de investigarlas. Cuando una investigación que debería durar unos minutos se extiende a horas, las consecuencias pueden cambiar drásticamente, pasando de ser un incidente controlado a una brecha de seguridad.
Durante años, la industria de la ciberseguridad ha centrado sus esfuerzos en la defensa contra el phishing a través de la formación de empleados, puertas de enlace de correo electrónico que filtran amenazas conocidas y programas de reporte para que los usuarios informen mensajes sospechosos. Sin embargo, se ha prestado poca atención a lo que ocurre después de que se presenta un informe, y cómo los atacantes explotan el proceso de investigación que sigue.
Fatiga de alertas en los SOC
La fatiga de alertas en los Centros de Operaciones de Seguridad (SOC) no es solo un inconveniente operativo; puede convertirse en una superficie de ataque. Los equipos de SOC informan cada vez más sobre campañas de phishing que parecen diseñadas no solo para comprometer objetivos, sino también para abrumar a los analistas responsables de su investigación. Esto implica que las organizaciones deben replantearse su enfoque hacia la defensa contra el phishing. La vulnerabilidad no reside únicamente en el empleado que hace clic, sino también en el analista que no puede gestionar la carga de trabajo.
Cuando las investigaciones que deberían cerrarse en minutos se alargan a 3, 6 o 12 horas por la congestión en la cola, la ventana de éxito para los atacantes se amplía considerablemente.
El phishing como un sistema
El phishing suele ser tratado como una serie de amenazas independientes: un mensaje, un posible víctima, una investigación. Sin embargo, los atacantes que operan a gran escala piensan en términos de sistemas en lugar de mensajes individuales. Un SOC es uno de esos sistemas, con capacidad finita y modos de fallo predecibles. Por ejemplo, en una campaña de phishing dirigida a una gran empresa, el atacante puede enviar miles de mensajes. La mayoría de ellos son engaños de baja sofisticación que los filtros de correo o los empleados entrenados probablemente captarán.
Estos mensajes inundan el SOC con informes y alertas, lo que lleva a los analistas a triagear, lidiando con una cola que crece más rápido de lo que pueden despejarla. Entre esa avalancha, se encuentran algunos mensajes cuidadosamente elaborados que buscan a individuos con acceso a sistemas críticos. Este enfoque no es solo un juego numérico; se asemeja a un ataque de denegación de servicio (DoS) contra la atención del SOC, conocido como Denegación de Servicio Informativa (IDoS).
Patrones predecibles en la triage del phishing
Este tacticismo se basa en patrones predecibles que siguen los SOC durante picos en el volumen de phishing. Cuando los informes de phishing aumentan, la mayoría de los SOC responden de manera predecible. Los analistas comienzan a triagear más rápido, dedicando menos tiempo a cada envío. Como resultado, la profundidad de la investigación disminuye. Investigaciones en la industria revelan que el 66% de los equipos de SOC no pueden hacer frente a las alertas entrantes.
La atención se desplaza de la investigación exhaustiva a la simple limpieza de la cola. Los gerentes pueden despriorizar los informes de phishing en relación a las alertas de otros sistemas de detección, asumiendo que los informes presentados por los usuarios son de menor fidelidad. Cada respuesta es lógica por sí sola, pero colectivamente crean las condiciones que un atacante necesita.
La economía del ataque
La economía de esta dinámica favorece fuertemente al atacante. Generar miles de correos phishing de bajo costo es casi gratuito, especialmente con la IA generativa que reduce aún más la barrera de producción. Por el contrario, cada uno de esos correos, una vez reportado por un empleado, consume tiempo real de analista y recursos cognitivos. Esto crea una asimetría que los modelos tradicionales de SOC no saben abordar.
El costo del atacante por cada correo de señuelo es cercano a cero, mientras que el costo para el defensor por cada correo reportado puede ser significativo, tanto en tiempo como en recursos. La presión sobre los analistas para investigar todo es alta, dado que el costo de perder una amenaza real puede ser catastrófico, como el compromiso de credenciales o la exfiltración de datos. Los atacantes son conscientes de esta realidad y la aprovechan para maximizar su ventaja.