Los ataques de phishing son una amenaza persistente en un mundo altamente digitalizado y que constituye una preocupación constante tanto para las personas como para las organizaciones. Los ataques de spear phishing son un subconjunto especialmente preocupante de estos tipos de ciberdelitos. Pero ¿qué es el spear phishing exactamente y es posible prevenir estos ataques?
Si bien phishing es un término general para los ciberataques realizados por correo electrónico, SMS o llamadas telefónicas, hay quienes se preguntarán cómo se denominan los ataques de phishing dirigidos a un objetivo concreto. La respuesta es spear phishing. En términos sencillos, se trata de ciberataques altamente personalizados, dirigidos a personas o empresas concretas. Por lo general, estos ataques se llevan a cabo a través de correos electrónicos de spear phishing que parecen legítimos para el destinatario y lo incitan a compartir datos confidenciales con el atacante. Aunque el objetivo de los ataques de spear phishing suele ser robar información, como credenciales de inicio de sesión o datos de tarjetas de crédito, algunos están diseñados para infectar dispositivos con software malicioso. A menudo, los ciberactivistas y piratas informátiv¿cos patrocinados por el gobierno son los autores de las estafas de spear phishing. Sin embargo, los ciberdelincuentes individuales también llevan a cabo estos ataques con la intención de perpetrar robos de identidad o fraudes financieros, manipular las cotizaciones bursátiles, cometer espionaje o robar datos confidenciales para revenderlos a los gobiernos, las empresas privadas u otras personas interesadas.
Lo que hace que las estafas de spear phishing tengan tanto éxito (más que los ataques de phishing estándar) es que los atacantes realizan una investigación exhaustiva de sus objetivos. Con la información que encuentran, pueden utilizar técnicas de ingeniería social para crear ataques excepcionalmente adaptados, que engañen al objetivo haciéndole creer que está recibiendo correos electrónicos y solicitudes legítimos. Como resultado, incluso los objetivos de más alto rango dentro de las organizaciones, como los ejecutivos de mayor nivel, pueden llegar a abrir correos que creían seguros. Este tipo de errores involuntarios les permiten a los ciberdelincuentes robar los datos que necesitan para atacar la red objetivo.
Básicamente, existen cinco pasos para que las estafas de spear phishing sean exitosas. Estos son los siguientes:
Estos ataques dirigidos funcionan porque los correos electrónicos de spear phishing crean una sensación de familiaridad con la vida del destinatario. Los atacantes dedican mucho tiempo y esfuerzo a rastrear todos los detalles posibles sobre el trabajo, la vida, los amigos y la familia de los destinatarios. Al investigar a través de Internet y los perfiles de redes sociales en plataformas como Facebook y LinkedIn, los estafadores pueden encontrar información como direcciones de correo electrónico y números de teléfono, redes de amigos, familiares y contactos profesionales, lugares frecuentados, así como datos de la empresa en la que trabajan y su cargo, dónde realizan compras en Internet, qué servicios bancarios utilizan, etc. Utilizando toda esta información, los atacantes pueden construir perfiles exhaustivos de sus objetivos potenciales y crear correos electrónicos de spear phishing personalizados utilizando técnicas de ingeniería social y que aparentan ser legítimos, porque proceden de personas o empresas con las que se relacionan habitualmente y contienen información que podría ser auténtica.
Por lo general, el correo electrónico le solicita al destinatario que responda inmediatamente con determinados datos o contiene un vínculo en el que debe introducir dichos datos en un sitio web que falsifica sitios legítimos. Por ejemplo, el vínculo del correo electrónico puede dirigir al destinatario a un sitio web falso de su banco o de su tienda en línea preferida, donde tendrá que iniciar sesión en su cuenta. En este momento, el atacante será capaz de robar los nombres de usuario y las contraseñas para sus propios fines maliciosos. A veces, sin embargo, el correo electrónico contiene un archivo adjunto o un vínculo que instala un software malicioso en el dispositivo cuando el destinatario lo descarga o hace clic en él. El atacante puede utilizar esto para robar la información que necesita o apropiarse de ordenadores para organizarlos en enormes redes (llamadas botnets) que pueden utilizarse para ejecutar ataques de denegación de servicio (DoS).
Sin embargo, es importante recordar que no todos los usuarios de Internet o perfiles de redes sociales son un buen objetivo para el spear phishing. Como requiere más esfuerzo que el phishing estándar, los ciberdelincuentes suelen buscar objetivos de alto valor. A menudo, los atacantes utilizan algoritmos automatizados para rastrear información determinada en Internet y las redes sociales, como contraseñas o códigos PIN, e identifican a las personas de alto valor que presentan mayor potencial para realizar con éxito ataques de spear phishing.
Estas estafas se han sofisticado tanto que se han vuelto casi imposibles de combatir para el ciudadano promedio. Por eso, aunque no existen medidas de ciberseguridad infalibles contra el spear phishing, comprender cómo funcionan estos ataques y aprender qué señales hay que tener en cuenta puede ser útil para evitarlos.
Una de las claves para aprender a evitar el spear phishing es comprender las distintas técnicas que emplean los estafadores para garantizar el éxito de sus ataques. De este modo, las personas y los empleados de las empresas pueden estar alerta frente a este tipo de estafas. Cuando recibas un correo electrónico con alguna de las siguientes señales de alarma, es importante actuar con cautela.
Aunque ambos son tipos de ciberataques, puede ser importante entender en qué se diferencia el spear phishing del phishing. Ambos son utilizados por ciberdelincuentes para inducir a los usuarios a compartir información personal confidencial; pero, esencialmente, los primeros son ataques dirigidos que están personalizados para el objetivo previsto, mientras que los segundos son ataques generalizados destinados a "pescar" cualquier dato confidencial que los usuarios puedan compartir.
Los ataques de phishing suelen consistir en correos electrónicos genéricos que intentan forzar al receptor a compartir datos personales, como contraseñas y datos de tarjetas de crédito. Después, el estafador utiliza esta información con fines maliciosos, como el robo de identidad o el fraude financiero. Lo más importante es que los ataques de phishing no se personalizan para el destinatario. En esencia, los ciberdelincuentes están probando suerte y apostando por la cantidad (enviar muchos correos electrónicos de phishing), en lugar de la calidad (crear correos electrónicos de phishing utilizando técnicas más sofisticadas que puedan tener más posibilidades de éxito). Normalmente, estos mensajes simulan ser de grandes empresas, como bancos o tiendas en línea, y contienen vínculos maliciosos que engañan a los destinatarios para que compartan sus datos o instalen software malicioso en sus dispositivos.
Por el contrario, las estafas de spear phishing son ataques muy personalizados dirigidos a la víctima deseada. Al contener detalles relacionados con el destinatario concreto, los correos electrónicos de spear phishing parecen más legítimos, sobre todo porque suelen proceder de personas u organizaciones con las que el destinatario está familiarizado. Por este motivo, los ciberdelincuentes tienen que invertir mucho más tiempo y esfuerzo en lanzar ataques de spear phishing y tienen más probabilidades de tener éxito.
Para quienes se preguntan cómo se denominan los ataques de phishing dirigidos, existen dos subconjuntos específicos junto con el spear phishing: whaling y ataques al correo electrónico corporativo (BEC).
Los ataques de whaling son un tercer tipo de ataque que tiene muchas similitudes con las estafas de phishing y spear phishing. El whaling se dirige específicamente a personas de alto perfil, como ejecutivos de alto nivel, miembros de juntas directivas, celebridades y políticos. En estos ataques también se utilizan correos electrónicos altamente personalizados para intentar robar información financiera o confidencial de empresas u organizaciones y pueden causar importantes daños financieros o de reputación a la institución implicada.
En el último tipo de ataque de phishing, los ataques BEC, los estafadores se hacen pasar por empleados de la empresa para perpetrar fraudes financieros a las organizaciones. En algunos casos, el correo electrónico puede pretender ser de un ejecutivo de alto nivel y hace que un empleado de nivel inferior pague una factura fraudulenta o transfiera fondos al "ejecutivo". Los ataques BEC también pueden adoptar la forma de un ataque por correo electrónico, en el cual el atacante secuestra el correo electrónico de un empleado para conseguir que los proveedores paguen facturas falsas o que otros empleados transfieran dinero o información confidencial.
La ciberseguridad tradicional contra el spear phishing suele no ser suficiente para prevenir estos ataques, porque están muy bien ejecutados. Por este motivo, cada vez son más difíciles de detectar. Un simple error puede tener graves consecuencias para el objetivo, ya sea una persona, un gobierno, una empresa o una organización sin ánimo de lucro. A pesar de la prevalencia de estos ataques, y de la sofisticación de su personalización, existen muchas medidas que los particulares o las organizaciones pueden aplicar para prevenir el spear phishing. Aunque no erradicarán por completo la amenaza de estos ataques, ofrecen capas adicionales de seguridad que harán que sea menos probable que se produzcan. A continuación, se detallan algunos consejos de expertos sobre cómo prevenir el spear phishing.
La mayoría de los usuarios de Internet tienen nociones básicas de phishing, pero es importante entender cuál es la diferencia entre el spear phishing y el phishing estándar. Debido a que los correos electrónicos de spear phishing utilizan técnicas de ingeniería social que requieren una investigación compleja, estos ataques están altamente personalizados para sus objetivos previstos y, por lo tanto, tienen una probabilidad de éxito mucho mayor que el ataque de phishing estándar. Aunque estos ataques siempre supondrán un riesgo, es posible intentar mitigarlos. Tomar medidas para saber a qué tipo de señales de advertencia hay que prestar atención en los correos electrónicos sospechosos, utilizar VPN y programas antivirus regularmente y desconfiar de vínculos y archivos adjuntos sospechosos puede ser útil para evitar los ataques de spear phishing.
Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium ha recibido cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.
Artículos y vínculos relacionados:
Han pirateado mi correo electrónico, ¿qué debo hacer?
Formas de evitar ataques de ingeniería social
Productos y servicios relacionados