Blog

  1. Te encuentras en:  
  2. Inicio
  3. Blog
  4. Cómo protegerse del spear phishing
Cómo protegerse del spear phishing

Cómo protegerse del spear phishing

El spear phishing es un ataque de phishing dirigido contra un individuo u organización en concreto. Estos correos electrónicos están diseñados para que las víctimas confíen en el mensaje lo suficiente como para abrirlo y actuar en consecuencia.

Son sofisticados y están cuidadosamente diseñados para que parezcan provenir de un contacto confiable.

A diferencia de los ataques indiscriminados de phishing, que son algo parecido a tirar un anzuelo y esperar a ver quien pica, los ataques de spear phishing intentan ser quirúrgicos.

Antes de perpetrar el ataque, el villano intentará recopilar toda la información posible sobre su futura víctima:

  • Nombre y apellidos.
  • Dirección de trabajo.
  • Dirección postal.
  • Perfil de la empresa.
  • Números de teléfono.
  • Direcciones de correo electrónico.
  • Servicios a los que está suscrito.
  • Informes crediticios.
  • Amistades.

Acostumbran a buscar esta información en fuentes disponibles de forma pública (OSINT), que no se limitan a lo que se puede encontrar usando Google.

  • Artículos de periódicos y revistas, así como informes de prensa.
  • Artículos académicos e investigaciones publicadas.
  • Libros y otros materiales de referencia.
  • Actividad en redes sociales.
  • Datos del censo.
  • Directorios telefónicos.
  • Información comercial y corporativa.
  • Registros públicos.
  • Datos de registro de certificados SSL o dominios.

Para obtener información también pueden robar las cartas del buzón de la casa del objetivo, o bucear en su cubo de basura.

Cuando el estafador tenga suficiente información, le enviará un correo electrónico, un SMS, etc; lo bastante creíble para despertar su interés o crearle una sensación de urgencia para que no tenga tiempo de reflexionar.

Dado que la preparación supone bastante trabajo, estos ataques no suelen ser dirigidos contra usuarios particulares.

El objetivo principal son las empresas y los profesionales de cierto nivel que trabajan en las mismas.Pero nunca se puede descartar nada.

Los intentos de spear phishing pueden adoptar diferentes formas.

  • El fraude del CEO: los estafadores se hacen pasar por ejecutivos de compañías para ordenar transferencias bancarias.
  • Sitios web falsos:  pueden enviar un enlace a una versión clonada de un sitio web de un proveedor. Todo parece legítimo, el logotipo, la dirección, incluso los detalles de contacto, pero la URL está ligeramente modificada.
  • Ataques con malware: un archivo adjunto a un correo electrónico en formato PDF o Excel, (por ejemplo una supuesta factura), puede esconder una carga útil de código malicioso.
  • Compromiso de correo electrónico empresarial (BEC): los estafadores obtienen acceso a una cuenta de correo electrónico corporativa legítima a través de credenciales robadas para engañar a los empleados.
  • Tecnología Deepfake: imagina recibir un mensaje de voz que suene igual que la de tu jefe autorizando un pago.

Las cantidades de métodos usados por los ciberdelincuentes son directamente proporcionales a sus recursos.

Cómo protegerse contra el spear phishing

El spear phishing puede ser más elaborado y engañoso que el phishing tradicional, pero en la mayoría de casos, basta con tomar las mismas precauciones, para no acabar convirtiéndonos en víctimas.

  • Nunca proporciones más información de la necesaria en las redes sociales.
  • Huye de las encuestas teléfonicas.
  • No proporciones datos personales para obtener aplicaciones en las redes sociales, a menos que sea absolutamente imprescindible.
  • Facilita la información justa y necesaria al registrarte en un sitio web.
  • Utiliza contraseñas seguras y diferentes para cada servicio en línea, y a ser posible implementa la autentificación en múltiples factores.
  • Ten cuidado con los correos inesperados, aunque procedan de un remitente conocido, especialmente si requieren urgencia.
  • Verifica la autenticidad del asunto con la persona involucrada a través de un medio de comunicación alternativo como una llamada telefónica o un mensaje de texto.
  • Sospecha si el mensaje contiene excesivos errores tipográficos, ortográficos o gramaticales.
  • Si tienes una empresa, o una página web, utiliza tecnologías de autenticación de correo electrónico para garantizar que los correos falsificados no lleguen a tus clientes o usuarios.

Actualiza el software, el sistemas operativos y las herramientas antimalware regularmente. Muchos ataques explotan vulnerabilidades conocidas que podrían haberse parcheado hace meses.

Si crees que has sido objeto de un ataque de spear phishing, es importante actuar rápidamente para limitar los daños potenciales.

El primer paso es cambiar inmediatamente las contraseñas de cualquier cuenta relacionada con información personal o financiera, y consultar en tu banco la lista de transacciones recientes y pendientes.

Si tienes una empresa, comunica inmediatamente la brecha de seguridad a tus proveedores y clientes.

No borres los mensajes: puede ser necesario ponerse en contacto con las fuerzas y cuerpos de seguridad del Estado, aportando todas las pruebas posibles.

Artículos relacionados

Información

Lo más visto

Temas

Privacidad Amenazas Internet Ingeniería social Estafas Teléfonos móviles Herramientas Contraseñas Seguridad de sitios web Seguridad informática Malware Redes VPN Windows Software de código abierto Android Redes sociales
© 2019 - 2025 Infosegur.net

Contenido bajo una licencia de Creative Commons 4.0