Blog

 identificar y protegerse contra el spear phishing

Cómo identificar y protegerse contra el spear phishing

El spear phishing es un ataque de phishing dirigido contra un individuo u organización en concreto. Estos correos electrónicos están diseñados para que las víctimas confíen en el mensaje lo suficiente como para abrirlo y actuar en consecuencia.Son sofisticados y están cuidadosamente diseñados para que parezcan provenir de un contacto confiable.

A diferencia de los ataques indiscriminados de phishing, que son algo parecido a tirar un anzuelo y esperar a ver quien pica, los ataques de spear phishing son quirúrgicos.

Antes de perpetrar el ataque, el villano intentará recopilar toda la información posible sobre su futura víctima: nombre, dirección de trabajo, perfil de la empresa, números de teléfono, direcciones de correo electrónico, servicios a los que está suscrito, amistades, etc.

El exhibicionismo desmedio en las redes sociales o las opciones de privacidad mal configuradas, son un coladero de información sobre personas y empresas.

Cuando el estafador tenga suficiente información, le enviará un correo electrónico lo bastante creíble para despertar su interés o crearle una sensación de urgencia para que no tenga tiempo de reflexionar.

Los intentos de spear phishing pueden adoptar diferentes formas.

Algunos intentan que la víctima haga clic en un enlace que podría llevarle a un sitio que descarga malware (por ejemplo, ransomware) o a una página web que suplanta a un servicio legítimo al cual esta susucrito para que introduzca una contraseña.

Otros intentos de spear phishing pueden solicitar que proporcione información bancaria, de la tarjeta de crédito, o simplemente que envíe algo de dinero a un amigo o familiar en apuros.

Los estafadores también pueden hacerse pasar por una empresa en la que el usuario confia, por ejemplo, un banco o una tienda.

Podrían ofrecerle una oferta por tiempo limitado, decirle que debe o le deben dinero, o que su banca en línea a sido bloqueada por alguna razón y para restaurar el servicio tiene que identificarse mediante sus credenciales de acceso.

Ni una institución financiera ni un proveedor de servicios pedirían jamás a sus clientes que revelaran información personal por correo electrónico.

Las cantidad de métodos usados por el ciberdelincuente son directamente proporcionales a su imaginación.

El spear phishing también es una forma muy común de ataque a las empresas.

Debido a que puede estar dirigido tanto al director ejecutivo, al director financiero o a cualquier empleado con aceso a datos confidenciales, es posiblemente el tipo de estafa más peligrosa.

Y poco puede hacer el departamento de seguridad informática, si uno de estos señores pica en el anzuelo del email fraudulento y facilita información corporativa.

Además de implementar tecnologías centradas en la seguridad del correo electrónico, tambien es necesario educar a los empleados para que sean conscientes de la posibilidad de recibir correos electrónicos de este tipo.

Cómo protegerse contra el spear phishing

El spear phishing puede ser más elaborado y engañoso que el phishing tradicional, pero en la mayoría de casos, basta con tomar las mismas precauciones, para no acabar convirtiéndonos en víctimas.

  • Nunca proporciones más información de la necesaria en las redes sociales.
  • Las redes sociales permiten personalizar tu configuración de seguridad: cuanto más estricta sea, menos fácil le será a un phisher obtener información sobre ti.
  • No proporciones datos personales para obtener aplicaciones en las redes sociales, a menos que sea absolutamente imprescindible.
  • Facilita  la información justa y necesaria al registrarte en un sitio web.
  • Utiliza contraseñas seguras y diferentes para cada servicio en línea, y a ser posible implementa la autentificación en múltiples factores.
  • Puedes utilizar un administrador de contraseñas que las generará y gestionará por ti.
  • Actualiza tu software, especialmente el sistema operativo con los últimos parches de seguridad.
  • Ten cuidado con los correos inesperados aunque procedan de un remitente conocido, especialmente si requieren urgencia.
  • Verifica la autenticidad del asunto con la persona involucrada a través de un medio de comunicación alternativo como una llamada telefónica o un mensaje de texto.
  • Aunque cada vez son más sofisticados, sospecha si el mensaje contiene excesivos errores tipográficos, ortográficos o gramaticales.
  • Nunca ingreses información personal o financiera en una ventana emergente o un navegador web sin asegurarte de que la página es genuina.
  • El cifrado de los datos que se transmiten entre tu ordenador y el servidor de destino, es una excelente manera de protegerlos de miradas indiscretas.
  • Si tienes una empresa, o una página web, utiliza tecnologías de autenticación de correo electrónico para garantizar que los correos falsificados no lleguen a tus clientes o usuarios.

Si crees que has sido objeto de un ataque de spear phishing, es importante actuar rápidamente para limitar los daños potenciales.

El primer paso es cambiar inmediatamente la contraseña de cualquier cuenta relacionada con información personal o financiera, y consultar en tu banco la lista de transacciones recientes y pendientes.

También puede ser necesario ponerse en contacto con las Fuerzas y Cuerpos de Seguridad del Estado.

Mostrar el formulario de comentarios