Tras el éxito de nuestro primer evento comunitario en 2023, había llegado el momento de dar un paso más. Junto con el proveedor de servicios informáticos Cronos Security, organizamos el primer hackathon de phishing en vivo de la historia, más conocido como Phishathon.
Este evento se centró por completo en el phishing, exigiendo a los participantes que mostraran sus tácticas más creativas y astutas a través de tres retos, de los que sólo uno resultó ganador.
En este artículo nos adentraremos en el evento, destacaremos a los principales participantes, detallaremos los retos y analizaremos el impacto logrado.
Para el primer desafío del Phishathon, colaboramos con Cronos Security y UZ Leuven para lanzar una campaña de spear-phishing. Nuestros phishers éticos y los participantes en el evento recibieron información sobre el objetivo e información útil para elaborar sus correos electrónicos de phishing. Armados con estos datos, los participantes investigaron más a fondo y lanzaron una serie de correos electrónicos diversos y dirigidos al departamento de TI de UZ Leuven.
La campaña suscitó rápidamente actividad, generando importantes interacciones e incluso algunos envíos de datos antes de que los destinatarios informaran de los correos electrónicos.
Los correos electrónicos han causado una gran conmoción en nuestra organización, pero en un sentido positivo, por supuesto. - Thomas Noppe | UZ Leuven
El phisher más votado del año, Michiel, ganó este desafío al conseguir el mayor número de clics en los enlaces de sus correos. Su correo de ingeniería social, que imitaba fielmente el estilo de comunicación dentro de la organización, resultó ser la estrategia ganadora.
Las herramientas de Inteligencia Artificial están revolucionando la sociedad, incluida la ciberseguridad. Este fue el tema central de nuestro segundo reto. Los participantes debían generar correos electrónicos de phishing dirigidos a diversos sectores, como la construcción, el transporte marítimo y las actividades científicas. Para crear sus correos electrónicos de phishing, utilizaron herramientas de IA como ChatGPT-4 y Gemini.
Trabajando en grupos, los participantes dispusieron de diez minutos para elaborar sus correos electrónicos. Los resultados fueron diversos pero no siempre convincentes, lo que pone de manifiesto la importancia del toque humano en el phishing y la ciberseguridad.
Nuestro jurado de expertos, compuesto por Jonas Buyle, de Cronos Security, Dieter Tinel, de OutKept, y Thomas Noppe, de UZ Leuven, evaluó todas las propuestas. Tras una cuidadosa deliberación, Noa, profesional de la ciberseguridad, se llevó el premio de este desafío con su intrincado correo electrónico de phishing que logró eludir la autenticación multifactor (MFA).
¿Alguna vez le ha llamado un phisher? ¿Alguien haciéndose pasar por tu banco, una herramienta conocida o cualquier otra persona? Con nuestro último reto queríamos poner de relieve la facilidad del vishing, el phishing telefónico, y pedir a nuestra comunidad que llamara a un objetivo especial.
A partir de un documento secreto, cada grupo recibió su objetivo y dispuso de 10 minutos para preparar su escenario de vishing. Tras prepararse y decidir cómo abordarían la llamada, recibieron el número de teléfono del objetivo.
Los enfoques variaron considerablemente y, con el primer puesto aún al alcance de la mano, todo estaba en juego. En este caso, algunos grupos se ciñeron a sus estrategias preparadas, mientras que otros improvisaron. Al final, un equipo triunfó con su escenario de phishing específico del sector y adaptado a su objetivo.
A medida que el evento se acercaba a su fin, nuestro jurado tuvo que decidir el ganador final basándose en los resultados obtenidos en los tres retos.
Los jueces Thomas Noppe (UZ Leuven), Jonas Buyle (Cronos Security) y Dieter Tinel (OutKept) concedieron el primer premio al phisher ético Noa (Pixl), con Michiel (IT-Strategie) como subcampeón. Ambos participantes destacaron a lo largo del evento, lanzando campañas de phishing eficaces e innovadoras. Noa impresionó con sus habilidades de ingeniería social en el desafío de vishing y demostró cómo se puede eludir la MFA con el enfoque adecuado. Michiel demostró sus habilidades de spear-phishing en el primer desafío, ganando importantes interacciones y recompensas.
Terminamos la noche con pizza y bebidas de celebración, encantados con el éxito de nuestro primer Phishathon. El evento fue un éxito rotundo y estamos impacientes por ver qué nos depara el año que viene. ¡Hicimos un montón de phishing!
Tienes curiosidad por el evento? Mira nuestra película posterior 👇
Nuestro blog es tu fuente principal para todo lo relacionado con phishing y ciberseguridad. Lee aquí las últimas noticias y artículos de opinión sobre estos temas.
Nuestra plataforma de simulación de phishing ético es un cambio de juego absoluto para tu oferta de ciberseguridad, manteniendo a tus clientes alerta contra amenazas de phishing en evolución. Con toda la comunidad abierta de phishers éticos de OutKept a tu lado, ahora puedes expandir las simulaciones de phishing a cualquier organización en tu portafolio. Aprovecha la creciente demanda, no rechaces más solicitudes de prevención de organizaciones más pequeñas, crea oportunidades para servicios, productos o soporte adicionales, y mantente al tanto con evaluaciones de impacto regulares.
.png){kind=logo}
