¿Qué es el Spear Phishing?

El phishing es una estafa online en la que los piratas informáticos envían un mensaje malicioso para engañarte para que entregues información personal valiosa pero, ¿has oído hablar del spear phishing?

En pocas palabras, el spear phishing es una forma hiperactiva de phishing en la que personas específicas reciben mensajes manipuladores. Los ciberdelincuentes tienen como objetivo obtener datos privados o engañar a los destinatarios para que hagan algo, como transferir dinero. Por lo general, los objetivos previstos del spear phishing son ejecutivos cuya información vale mucho dinero.

Ejemplo de spear phishing

Para tener una comprensión más clara de qué es el spear phishing, echemos un vistazo a varios ejemplos:

• Phishing del CEO: Un tipo de spear phishing se dirige a los empleados de la empresa haciéndose pasar por directores ejecutivos (CEO). Estos mensajes fraudulentos, generalmente en forma de correos electrónicos, instruyen al personal de los departamentos de Recursos Humanos (RR.HH.) o Finanzas para que revelen información confidencial de la empresa o transfieran dinero. Los ciberdelincuentes se hacen pasar por el director ejecutivo por su autoridad. (Por lo general, nadie cuestiona sus decisiones, ¿verdad?) Y la forma en que engañan a la gente es usando el nombre del CEO con una dirección de correo electrónico ligeramente alterada. También intentan engañar a empleados específicos utilizando una dirección de respuesta diferente a la de los remitentes.
• Spear phishing con IA. La Inteligencia Artificial puede ser útil de muchas maneras, pero a veces, también se puede entrenar para realizar malas acciones. En el caso del spear phishing con IA, los piratas informáticos utilizan la Inteligencia Artificial para rastrear Internet y encontrar información útil sobre alguien a quien quieren suplantar. Puede ser un miembro senior de una empresa o un influencer online. Luego, la IA estudia las páginas de redes sociales, los mensajes profesionales y sociales, etc. de esta persona para imitar su lenguaje, estilo de comunicación y tono de voz. Con el spear phishing impulsado por IA, los ciberdelincuentes pueden instruir a un ordenador para que elabore y envíe correos electrónicos a objetivos a velocidades que los atacantes humanos no pueden.

Cómo identificar el spear phishing

Entonces, ¿cómo es un ataque de spear phishing? ¿Hay alguna forma de determinar si estás siendo provocado por un ataque de spear phishing?

La forma más común en que estos «phishers» se comunican con una víctima potencial es mediante el correo electrónico. Ahora, diferenciaremos un mensaje legítimo de un correo electrónico de spear phishing.

¿Cómo es un correo electrónico de spear phishing? Lo aterrador es que estos piratas informáticos pueden imitar el estilo de comunicación de cualquier persona que estén personificando. Pero no te preocupes , todavía hay formas de diferenciar un correo electrónico de spear phishing de uno legítimo:

• El nombre del remitente es incorrecto. Comprueba el nombre del remitente con mucho cuidado porque los piratas informáticos pueden haber cometido un simple error de ortografía.
• La dirección de correo electrónico del remitente es ligeramente diferente. Los piratas informáticos pueden simplemente alterar un símbolo por otro o usar algo muy similar a la dirección de correo electrónico real. Por ejemplo, usando 1 para la letra l.
• Piden información muy sensible. Es posible que el correo electrónico solicite detalles de la empresa, como registros financieros o números de tarjetas de crédito corporativas.
• El correo electrónico contiene archivos adjuntos sospechosos. Pueden ser facturas falsas o extractos bancarios engañosos.
• Tu proveedor de correo electrónico muestra una advertencia en el propio correo electrónico. Ciertos proveedores de correo electrónico como Gmail generalmente te notifican cuando un archivo adjunto puede ser dañino o el mensaje es sospechoso. Sé siempre precavido, ya que puede ser un intento de spear phishing.

Phishing versus spear phishing

Aunque ambos utilizan los mismos métodos para atacar a las víctimas, el phishing y el spear phishing siguen siendo diferentes. Si bien el phishing utiliza un enfoque disperso para dirigirse a las personas, los ataques de spear phishing se realizan pensando en un destinatario específico. Debido a esto, los piratas informáticos suelen tardar más en ejecutar ataques de spear phishing, ya que necesitan investigar a sus posibles víctimas.

Spear phishing y Whaling

Si hay spear phishing, ¿sabías que hay otro término relacionado con él llamado whaling? El whaling es un tipo de spear phishing dirigido a personas y organizaciones de gran valor. Va dirigido a personas de alto rango dentro de una empresa conocida y lucrativa.

¿Cómo puedes diferenciar adecuadamente el phishing del spear phishing y los ataques de whaling? Pongamos un ejemplo:

• En un ataque de phishing, un pirata informático puede enviar un mensaje solicitando una transferencia bancaria. Lo enviarán a cualquier persona cuyo correo electrónico hayan encontrado mientras escaneaba foros de Internet o redes sociales.
• En un ataque de spear phishing, el pirata informático creará un mensaje más profesional, solicitando una transferencia bancaria a los empleados de una determinada empresa.
• En un ataque de whaling, el pirata informático puede apuntar al CEO o a directores de la empresa. Básicamente, cuanto más alto apunte en la escala profesional, mayor será la recompensa.

Cómo funciona el spear phishing

Quizás, si sabemos cómo ejecutan sus planes los piratas informáticos, estaremos más preparados para evitar que los ataques de spear phishing o whaling tengan éxito.

1. Recopilación de direcciones de correo electrónico. Los phishers primero intentarán recopilar las direcciones de correo electrónico que desean utilizar para el phishing. Pueden encontrarlas en la información disponible públicamente online o también pueden intentar utilizar otras técnicas como acceder a bases de datos privadas.
2. Detección de software antivirus. Los piratas informáticos intentarán averiguar el antivirus utilizado por la empresa objetivo. Cuando finalmente sepan de cuál se trata, encontrarán una forma de enviar correos electrónicos de phishing capaces de evadir este software.
3. Salir del filtrado de información. Cuando la víctima de la suplantación de identidad responde al mensaje del delincuente, la infraestructura de seguridad de una empresa puede impedir que se envíe el mensaje. Los ciberdelincuentes intentarán encontrar una forma de que sea recibido utilizando un software de cifrado o vías especializadas en forma de túnel por las que pasar los mensajes.
4. Ingeniería social. Los piratas informáticos intentarán estudiar a las personas que quieren suplantar investigando sus estilos y perfiles de escritura online.
5. Recibiendo los datos de phishing. Una vez que se ha enviado el mensaje de phishing, los delincuentes «recopilarán» los datos. A veces, incluso pueden instalar software malicioso en el dispositivo de la víctima para facilitar un mayor espionaje para informar futuros ataques.

Cómo prevenir el spear phishing

Los phishers son cada vez más sofisticados con sus técnicas, lo que significa que nadie está a salvo. Es posible que no se te considere un objetivo muy valioso ahora, pero puede que lo seas en el futuro. O puedes estar conectado a una víctima potencial de whaling, lo que también te hace vulnerable. Ahora bien, ¿cómo previenes un ataque de phishing?

• No publiques tu dirección de correo electrónico oficial en sitios web públicos. Mejor aún, no compartas demasiado tus datos personales en las redes sociales.
• Revisa cuidadosamente cualquier correo electrónico que recibas antes de responder.
• Confía en tu instinto si te dice que algo va mal. Si necesitas comunicarte con la persona que te envió el correo electrónico, comunícate con ella por otros medios, como una llamada o un mensaje de texto.
• Presta atención a los consejos de tu proveedor de correo electrónico, especialmente si te dice que un archivo adjunto es sospechoso. No hagas clic en ellos ni abras archivos adjuntos.
• Asiste a capacitaciones o talleres de ciberseguridad organizados por tu empresa. Si aún no los tiene, sugiérelos a tu equipo de recursos humanos.
• Como empresa, ten un protocolo si hay una violación de datos o si los empleados son víctimas de estafas de phishing. Debes trazar diferentes escenarios y estrategias de intervención en crisis.
• Actualiza tu software de ciberseguridad. En las empresas, lo más importante es contar con un sistema de ciberseguridad robusto y de fácil comprensión. A menudo, los empleados tienden a no preocuparse por los antivirus u otras cosas de TI porque son demasiado técnicas. Así que asegúrate de que la aplicación de ciberseguridad de tu empresa esté libre de jerga para que cualquiera pueda entenderla, desde tus empleados de base hasta los directores ejecutivos.

Me interesa

• Las marcas más suplantadas en los ataques de phishing del tercer trimestre de 2020
• Los 10 ciberataques de phishing en los que más suelen “picar” los empleados
• ¿Por qué seguimos cayendo en la trampa del ‘phishing’ bancario?
• Top 10 de asuntos de emails de phishing en empresas
• 10 consejos para evitar ataques de Phishing