El spear phishing, como el phishing tradicional, consiste en estafas que intentan engañar al destinatario para que facilite información confidencial, como las credenciales de sus cuentas.
Manuela Muñoz
- Named Account Manager de Proofpoint en España
En este tipo de ataques, los ciberdelincuentes pueden conseguir que, mediante enlaces o archivos adjuntos, la víctima descargue malware sin saberlo y dé acceso a su sistema informático y a su información confidencial. Simplemente el hecho de compartir datos, como nuestros intereses o localización, en redes sociales nos puede hacer vulnerables a estas amenazas.
Diferencias con los ataques de phishing clásicos
En el phishing estándar no hay un objetivo específico. El atacante puede hacerse pasar por una marca conocida y crear un contenido que parezca verídico, pero no incluirá el nombre del destinatario ni lo personalizará de ninguna manera.
Para estas campañas, solo hace falta una lista de direcciones. Los atacantes saben que algunos mensajes serán bloqueados por filtros de ciberseguridad, y que otros serán identificados y eliminados inmediatamente por los usuarios. Pero también saben que, de los miles de destinatarios, habrá decenas con los que el ataque será efectivo.
Sin embargo, el spear phishing tiene un carácter mucho más selectivo. Aunque ambos intentan engañar a los usuarios para que compartan información confidencial, este requiere mucho más esfuerzo por parte del atacante. Los mensajes de spear phishing son personalizados por el estafador, basándose en información pública que haya encontrado sobre el destinatario.
Esto puede incluir cualquier cosa publicada en sus redes sociales: su experiencia laboral, su lugar de trabajo, su puesto actual, sus intereses, dónde vive, etc. Estos detalles específicos hacen que el correo electrónico parezca legítimo o incluso que parezca provenir de alguien de confianza, lo que aumenta las posibilidades de que el destinatario haga clic en enlaces o descargue archivos adjuntos.
¿Cómo es una campaña de spear phishing?
Mientras que el phishing clásico puede ser eficaz para pequeños pagos, el enfoque específico del spear phishing permite obtener mayores beneficios. Por este motivo, normalmente se dirige a usuarios con accesos privilegiados, como pueden ser los altos cargos de una empresa.
Un ataque de este tipo empezaría con una investigación previa. Primero, el atacante recopilará direcciones de email de los empleados e investigará organigramas, que encontrará en LinkedIn o en la web de la empresa, para comprender mejor el funcionamiento de la organización. De esta manera, identificará a sus objetivos y podrá ver cómo llegar a ellos mediante lo que comparten en redes. Con esta información, elaborará un mensaje a medida, convenciendo a la víctima de que envíe dinero, descargue malware o comparta sus credenciales, gracias a la ingeniería social.
Sin embargo, los correos no tienen por qué ir dirigidos a cuentas corporativas, sino que pueden enfocarse a intereses personales. Por ejemplo, puede usarse un mensaje del tipo "Carlos, he visto que te encanta el arte moderno. Te recomiendo que visites la exposición sobre Pop Art que hay en Madrid. A Juan le encantó. Puedes comprar las entradas en esta página web". Este mensaje puede funcionar si la información pública de Carlos indica que es un amante del arte, vive en Madrid, es amigo de Juan (con el que comparte este interés), y el correo viene de la cuenta suplantada de uno de sus contactos en común.
Identificar y evitar estas estafas
La personalización hace que esta técnica lleve más tiempo al atacante, pero también es lo que la vuelve tan eficaz. Estas son las estrategias más comunes en spear phishing:
• El atacante se hace pasar por un cliente que se queja de una compra reciente. En su email enlaza a un sitio web, que parece la página oficial de la empresa, donde se pide al empleado objetivo que se identifique.
• Un mensaje notifica al usuario que su cuenta bancaria se ha visto comprometida y le enlaza a una web, que parece la de su banco, para que acceda con sus claves.
• Un mensaje, que parece provenir de una web en la que el usuario está registrado, avisa de que su cuenta está a punto de caducar y debe hacer clic en un enlace para actualizarla.
• Se solicita una donación a un grupo o a una causa, como una ONG con la que el objetivo pueda simpatizar.
• Se envían facturas que parecen legítimas en las que los ciberdelincuentes se hacen pasar por proveedores que la víctima o su empresa tienen contratados.
Las soluciones de protección de email pueden ayudar a evitar estos ataques, ya que analizan los mensajes e identifican si son sospechosos. Estos programas pueden simular ser usuarios reales para así buscar comportamientos maliciosos y que el malware dé la cara en un entorno controlado.
No obstante, la tecnología no es la única herramienta eficaz para frenar estas estafas. La formación y la concienciación de los usuarios es el otro elemento imprescindible en la protección frente al phishing. Es importante que conozcan si son un posible objetivo y que sepan identificar si están siendo atacados.
Consejos para no caer en la trampa del spear phishing
Algunos consejos básicos para evitar caer en las tácticas de spear phishing son:
• No hacer clic en los enlaces de emails; en su lugar, acceder a la web directamente desde el navegador.
• Desconfiar de cualquier mensaje que requiera una respuesta urgente y una transacción financiera.
• Asegurarse de que el mensaje procede de un remitente legítimo.
• No facilitar credenciales en ningún mensaje o llamada telefónica.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios