¿Qué es el spear phishing?

7 Dic 2017

Si no es tu primera visita a nuestro blog, probablemente ya sabrás lo que es el phishing. Si no lo sabes, asegúrate de leer este post. Básicamente, el phishing es una especie de fraude mediante el cual se consigue información personal: usuarios, contraseñas, números de cuenta y demás.

Existe una variedad de phising conocida como spear phishing cuya diferencia con los otros tipos es que se centra en una persona o empleado específico de una compañía en concreto.

Esta fijación hace que el spear phishing sea más peligroso, ya que los cibercriminales recopilan meticulosamente información sobre la víctima para llegar a ella más fácilmente. Un mail de spear phishing bien elaborado es muy complicado de distinguir de uno legítimo, por lo que acaba siendo más fácil cazar a la presa.

Quién usa el spear phishing y por qué

Hay dos motivos por los que se realiza el spear phishing: robar dinero y/o descubrir secretos. En cualquier caso, lo primero que hay que hacer es penetrar en la red corporativa. El modo más habitual es enviando mails a los empleados con documentos dañinos o archivos adjuntos. Así actuó, por ejemplo, el grupo que estuvo detrás de los ataques de Silence.

Un documento puede convertirse en un arma mediante el uso de macros de Microsoft Word o en el código JavaScript; básicamente, programas pequeños y sencillos integrados en archivos comunes cuyo único propósito es descargar un malware muy grave en el ordenador de la víctima. Luego, ese malware se propaga por la red corporativa o simplemente intercepta toda la información que pueda contener, ayudando a sus creadores a encontrar lo que están buscando en la red.

El spear phishing no es para estafadores aficionados que intentan lanzar su red lo más lejos posible. Los estafadores de a pie no tienen ni el tiempo ni los medios para personalizar sus armas.

El spear phishing es una herramienta para ataques más importantes a empresas grandes, bancos o personas influyentes. Se utiliza en grandes campañas de APT, como Carbanak o BlackEnergy. También se utilizó en los ataques de Bad Rabbit, que comenzaron con una infección vía email.

Quiénes pueden ser objetivos del spear phishing

Los objetivos más comunes del spear phishing son tanto los altos cargos con acceso a información potencial, como los departamentos cuyo trabajo consiste en abrir numerosos documentos provenientes de otras fuentes.

Por ejemplo, a los departamentos de RRHH llegan numerosos currículums en todo tipo de formatos, por lo que recibir un email con archivos adjuntos de fuentes desconocidas no es ni mucho menos sorprendente o sospechoso. RRPP y ventas también resultan vulnerables, como muchas otras áreas.

Los departamentos de contabilidad están en una zona de riesgo especial. Para empezar, tratan con contratistas, reguladores y con muchas personas más. Y, claro está, trabajan con dinero y software bancario. Para los cibercriminales hambrientos de dinero, la contabilidad es el área más atractiva.

Mientras, los espías se interesan más en gente con acceso interno a los sistemas como administradores de sistemas o personal de TI.

Pero no creas que el spear phising se usa solamente contra las grandes compañías. Las PyMEs atraen cada vez más a los intrusos. Lo más habitual es que roben a las pequeñas empresas y espíen a las grandes.

Medidas de protección contra el spear phishing

Generalmente, las técnicas más efectivas contra el spear phishing son muy parecidas a los otros tipos de phishing. En un post anterior, hemos dado 10 consejos para la máxima protección contra esta amenaza. La única diferencia es que el spear phising requiere un seguimiento aún más exhaustivo.

Lo ideal es que los correos electrónicos de phishing no lleguen a tu buzón. En una infraestructura corporativa, dichos mensajes deben filtrarse a nivel del servidor de correo. Los paquetes de software especiales pueden ayudar. Por ejemplo, Kasperky Security for Mail Server utiliza tecnologías en la nube para bloquear archivos adjuntos maliciosos y enlaces de phishing.

Sin embargo, para obtener mejores resultados, el sistema de seguridad debe proteger a varios niveles. Después de todo, los empleados tienen la posibilidad en teoría (y en la práctica) de utilizar servicios de correo de terceros o recibir un enlace de phishing en una aplicación de mensajería instantánea. Por lo tanto, es mejor proveer a los equipos de trabajo de una solución capaz de detectar actividad maliciosa en las aplicaciones de las que abusan generalmente los cibercriminales. Una de esas soluciones es Kaspersky Endpoint Security for Business.