El spear phishing es un ataque de phishing dirigido contra un individuo u organización en concreto. Estos correos electrónicos están diseñados para que las víctimas confíen en el mensaje lo suficiente como para abrirlo y actuar en consecuencia. Son sofisticados y están cuidadosamente diseñados para que parezcan provenir de un contacto confiable.
A diferencia de los ataques indiscriminados de phishing, que son algo parecido a tirar un anzuelo y esperar a ver quien pica, los ataques de spear phishing son quirúrgicos.
Antes de perpetrar el ataque, el villano intentará recopilar toda la información posible sobre su futura víctima: nombre, dirección de trabajo, perfil de la empresa, números de teléfono, direcciones de correo electrónico, servicios a los que está suscrito, amistades, etc.
Acostumbran a buscar esta información en fuentes disponibles de forma pública, que no se limitan a lo que se puede encontrar usando Google.
- Artículos de periódicos y revistas, así como informes de prensa.
- Artículos académicos e investigaciones publicadas.
- Libros y otros materiales de referencia.
- Actividad en redes sociales.
- Datos del censo.
- Directorios telefónicos.
- Información comercial.
- Datos de registro de certificados SSL o dominios.
Para obtener información también pueden robar las cartas del buzón de la casa del objetivo.
Cuando el estafador tenga suficiente información, le enviará un correo electrónico lo bastante creíble para despertar su interés o crearle una sensación de urgencia para que no tenga tiempo de reflexionar.
Los intentos de spear phishing pueden adoptar diferentes formas.
Algunos intentan que la víctima haga clic en un enlace a una página web que suplanta a un servicio legítimo (al cual está suscrito) para que introduzca sus credenciales de inicio de sesión.
O que abra un archivo adjunto a un correo electrónico que podría infectar su dispositivo con ransomware.
Otros intentos de spear phishing pueden solicitar que proporcione información bancaria, de la tarjeta de crédito, o simplemente que envíe algo de dinero a un amigo o familiar en apuros.
Los estafadores también pueden hacerse pasar por una empresa en la que el usuario confía, por ejemplo, un banco o una tienda.
Notificarle que su banca en línea ha sido bloqueada y para restaurar el servicio tiene que identificarse mediante sus credenciales de acceso, es otra estrategia bastante común.
Ni una institución financiera ni un proveedor de servicios pedirían jamás a sus clientes que revelaran información personal por correo electrónico.
Las cantidades de métodos usados por los ciberdelincuentes son directamente proporcionales a su imaginación.
El spear phishing también es una forma muy frecuente de ataque a las empresas.
Debido a que puede estar dirigido tanto al director ejecutivo, al director financiero o a cualquier empleado con acceso a datos confidenciales, es posiblemente el tipo de estafa más peligrosa.
Aunque muchas veces, también puede ser que la persona que recibe el correo de phishing no sea el objetivo real, y lo que busque realmente el delincuente es el acceso a su entorno corporativo.
Y poco puede hacer el departamento de seguridad informática, si uno de estos profesionales pica en el anzuelo del email fraudulento y facilita información que le han solicitado.
Además de implementar tecnologías centradas en la seguridad del correo electrónico, también es necesario educar a los empleados para que sean conscientes de la posibilidad de recibir correos electrónicos de este tipo.
Cómo protegerse contra el spear phishing
El spear phishing puede ser más elaborado y engañoso que el phishing tradicional, pero en la mayoría de casos, basta con tomar las mismas precauciones, para no acabar convirtiéndonos en víctimas.
Nunca proporciones más información de la necesaria en las redes sociales.
Las redes sociales permiten personalizar tu configuración de seguridad: cuanto más estricta sea, menos fácil le será a un phisher obtener información sobre ti.
No proporciones datos personales para obtener aplicaciones en las redes sociales, a menos que sea absolutamente imprescindible.
Facilita la información justa y necesaria al registrarte en un sitio web.
Utiliza contraseñas seguras y diferentes para cada servicio en línea, y a ser posible implementa la autentificación en múltiples factores.
Puedes emplear un administrador de contraseñas que las generará y gestionará por ti.
Actualiza tu software, especialmente el sistema operativo con los últimos parches de seguridad.
Ten cuidado con los correos inesperados, aunque procedan de un remitente conocido, especialmente si requieren urgencia.
Verifica la autenticidad del asunto con la persona involucrada a través de un medio de comunicación alternativo como una llamada telefónica o un mensaje de texto.
Aunque cada vez son más sofisticados, sospecha si el mensaje contiene excesivos errores tipográficos, ortográficos o gramaticales.
Nunca ingreses información personal o financiera en una ventana emergente o un navegador web sin asegurarte de que la página es genuina.
El cifrado de los datos que se transmiten entre tu ordenador y el servidor de destino, es una excelente manera de protegerlos de miradas indiscretas.
Si tienes una empresa, o una página web, utiliza tecnologías de autenticación de correo electrónico para garantizar que los correos falsificados no lleguen a tus clientes o usuarios.
Si crees que has sido objeto de un ataque de spear phishing, es importante actuar rápidamente para limitar los daños potenciales.
El primer paso es cambiar inmediatamente la contraseña de cualquier cuenta relacionada con información personal o financiera, y consultar en tu banco la lista de transacciones recientes y pendientes.
También puede ser necesario ponerse en contacto con las Fuerzas y Cuerpos de Seguridad del Estado.
