Saltar al contenido principal

¿Qué es el spear phishing? Definición y riesgos

Un hombre recibe un correo electrónico de spear phishing en su ordenador portátil.

Los ataques de phishing son una amenaza persistente en un mundo altamente digitalizado y que constituye una preocupación constante tanto para las personas como para las organizaciones. Los ataques de spear phishing son un subconjunto especialmente preocupante de estos tipos de ciberdelitos. Pero ¿qué es el spear phishing exactamente y es posible prevenir estos ataques?

Spear phishing: definición

Si bien phishing es un término general para los ciberataques realizados por correo electrónico, SMS o llamadas telefónicas, hay quienes se preguntarán cómo se denominan los ataques de phishing dirigidos a un objetivo concreto. La respuesta es spear phishing. En términos sencillos, se trata de ciberataques altamente personalizados, dirigidos a personas o empresas concretas. Por lo general, estos ataques se llevan a cabo a través de correos electrónicos de spear phishing que parecen legítimos para el destinatario y lo incitan a compartir datos confidenciales con el atacante. Aunque el objetivo de los ataques de spear phishing suele ser robar información, como credenciales de inicio de sesión o datos de tarjetas de crédito, algunos están diseñados para infectar dispositivos con software malicioso. A menudo, los ciberactivistas y piratas informátiv¿cos patrocinados por el gobierno son los autores de las estafas de spear phishing. Sin embargo, los ciberdelincuentes individuales también llevan a cabo estos ataques con la intención de perpetrar robos de identidad o fraudes financieros, manipular las cotizaciones bursátiles, cometer espionaje o robar datos confidenciales para revenderlos a los gobiernos, las empresas privadas u otras personas interesadas.

Lo que hace que las estafas de spear phishing tengan tanto éxito (más que los ataques de phishing estándar) es que los atacantes realizan una investigación exhaustiva de sus objetivos. Con la información que encuentran, pueden utilizar técnicas de ingeniería social para crear ataques excepcionalmente adaptados, que engañen al objetivo haciéndole creer que está recibiendo correos electrónicos y solicitudes legítimos. Como resultado, incluso los objetivos de más alto rango dentro de las organizaciones, como los ejecutivos de mayor nivel, pueden llegar a abrir correos que creían seguros. Este tipo de errores involuntarios les permiten a los ciberdelincuentes robar los datos que necesitan para atacar la red objetivo.

¿Cómo funcionan los ataques de spear phishing?

Básicamente, existen cinco pasos para que las estafas de spear phishing sean exitosas. Estos son los siguientes:

  1. Definición de los propósitos del ataque.
  2. Elección de los objetivos mediante una investigación preliminar.
  3. Identificación e investigación de una lista restringida de objetivos.
  4. Creación del correo electrónico de spear phishing con la información recopilada y técnicas de ingeniería social.

Estos ataques dirigidos funcionan porque los correos electrónicos de spear phishing crean una sensación de familiaridad con la vida del destinatario. Los atacantes dedican mucho tiempo y esfuerzo a rastrear todos los detalles posibles sobre el trabajo, la vida, los amigos y la familia de los destinatarios. Al investigar a través de Internet y los perfiles de redes sociales en plataformas como Facebook y LinkedIn, los estafadores pueden encontrar información como direcciones de correo electrónico y números de teléfono, redes de amigos, familiares y contactos profesionales, lugares frecuentados, así como datos de la empresa en la que trabajan y su cargo, dónde realizan compras en Internet, qué servicios bancarios utilizan, etc. Utilizando toda esta información, los atacantes pueden construir perfiles exhaustivos de sus objetivos potenciales y crear correos electrónicos de spear phishing personalizados utilizando técnicas de ingeniería social y que aparentan ser legítimos, porque proceden de personas o empresas con las que se relacionan habitualmente y contienen información que podría ser auténtica.

Por lo general, el correo electrónico le solicita al destinatario que responda inmediatamente con determinados datos o contiene un vínculo en el que debe introducir dichos datos en un sitio web que falsifica sitios legítimos. Por ejemplo, el vínculo del correo electrónico puede dirigir al destinatario a un sitio web falso de su banco o de su tienda en línea preferida, donde tendrá que iniciar sesión en su cuenta. En este momento, el atacante será capaz de robar los nombres de usuario y las contraseñas para sus propios fines maliciosos. A veces, sin embargo, el correo electrónico contiene un archivo adjunto o un vínculo que instala un software malicioso en el dispositivo cuando el destinatario lo descarga o hace clic en él. El atacante puede utilizar esto para robar la información que necesita o apropiarse de ordenadores para organizarlos en enormes redes (llamadas botnets) que pueden utilizarse para ejecutar ataques de denegación de servicio (DoS).

Sin embargo, es importante recordar que no todos los usuarios de Internet o perfiles de redes sociales son un buen objetivo para el spear phishing. Como requiere más esfuerzo que el phishing estándar, los ciberdelincuentes suelen buscar objetivos de alto valor. A menudo, los atacantes utilizan algoritmos automatizados para rastrear información determinada en Internet y las redes sociales, como contraseñas o códigos PIN, e identifican a las personas de alto valor que presentan mayor potencial para realizar con éxito ataques de spear phishing.

Estas estafas se han sofisticado tanto que se han vuelto casi imposibles de combatir para el ciudadano promedio. Por eso, aunque no existen medidas de ciberseguridad infalibles contra el spear phishing, comprender cómo funcionan estos ataques y aprender qué señales hay que tener en cuenta puede ser útil para evitarlos.

Identificar una estafa de spear phishing

Una de las claves para aprender a evitar el spear phishing es comprender las distintas técnicas que emplean los estafadores para garantizar el éxito de sus ataques. De este modo, las personas y los empleados de las empresas pueden estar alerta frente a este tipo de estafas. Cuando recibas un correo electrónico con alguna de las siguientes señales de alarma, es importante actuar con cautela.

  • El correo electrónico está diseñado para crear una sensación de urgencia o pánico: puede aparentar ser de un directivo de la empresa y requerir con insistencia los datos de inicio de sesión para ejecutar una acción urgente.
  • El lenguaje está diseñado para desencadenar emociones, como miedo o culpa, que motiven al receptor a actuar.
  • La dirección de correo electrónico parece incorrecta, tal vez el dominio no es correcto o el formato del nombre es inusual.
  • Los errores ortográficos y gramaticales son evidentes, sobre todo en correos electrónicos de grandes organizaciones, como bancos.
  • Se solicitan datos confidenciales y personales.
  • Los vínculos mal escritos o con formato incorrecto no coinciden con la dirección de destino al pasar el ratón por encima del vínculo.
  • Hay archivos adjuntos no solicitados, en especial aquellos con nombres de archivo inusuales.
  • Uso de pretextos, por ejemplo, que las credenciales de inicio de sesión están a punto de caducar y deben cambiarse de inmediato utilizando el vínculo del correo electrónico.

¿Cuál es la diferencia entre el spear phishing y el phishing?

Aunque ambos son tipos de ciberataques, puede ser importante entender en qué se diferencia el spear phishing del phishing. Ambos son utilizados por ciberdelincuentes para inducir a los usuarios a compartir información personal confidencial; pero, esencialmente, los primeros son ataques dirigidos que están personalizados para el objetivo previsto, mientras que los segundos son ataques generalizados destinados a "pescar" cualquier dato confidencial que los usuarios puedan compartir.

Los ataques de phishing suelen consistir en correos electrónicos genéricos que intentan forzar al receptor a compartir datos personales, como contraseñas y datos de tarjetas de crédito. Después, el estafador utiliza esta información con fines maliciosos, como el robo de identidad o el fraude financiero. Lo más importante es que los ataques de phishing no se personalizan para el destinatario. En esencia, los ciberdelincuentes están probando suerte y apostando por la cantidad (enviar muchos correos electrónicos de phishing), en lugar de la calidad (crear correos electrónicos de phishing utilizando técnicas más sofisticadas que puedan tener más posibilidades de éxito). Normalmente, estos mensajes simulan ser de grandes empresas, como bancos o tiendas en línea, y contienen vínculos maliciosos que engañan a los destinatarios para que compartan sus datos o instalen software malicioso en sus dispositivos.

Por el contrario, las estafas de spear phishing son ataques muy personalizados dirigidos a la víctima deseada. Al contener detalles relacionados con el destinatario concreto, los correos electrónicos de spear phishing parecen más legítimos, sobre todo porque suelen proceder de personas u organizaciones con las que el destinatario está familiarizado. Por este motivo, los ciberdelincuentes tienen que invertir mucho más tiempo y esfuerzo en lanzar ataques de spear phishing y tienen más probabilidades de tener éxito.

Para quienes se preguntan cómo se denominan los ataques de phishing dirigidos, existen dos subconjuntos específicos junto con el spear phishing: whaling y ataques al correo electrónico corporativo (BEC).

Los ataques de whaling son un tercer tipo de ataque que tiene muchas similitudes con las estafas de phishing y spear phishing. El whaling se dirige específicamente a personas de alto perfil, como ejecutivos de alto nivel, miembros de juntas directivas, celebridades y políticos. En estos ataques también se utilizan correos electrónicos altamente personalizados para intentar robar información financiera o confidencial de empresas u organizaciones y pueden causar importantes daños financieros o de reputación a la institución implicada.

En el último tipo de ataque de phishing, los ataques BEC, los estafadores se hacen pasar por empleados de la empresa para perpetrar fraudes financieros a las organizaciones. En algunos casos, el correo electrónico puede pretender ser de un ejecutivo de alto nivel y hace que un empleado de nivel inferior pague una factura fraudulenta o transfiera fondos al "ejecutivo". Los ataques BEC también pueden adoptar la forma de un ataque por correo electrónico, en el cual el atacante secuestra el correo electrónico de un empleado para conseguir que los proveedores paguen facturas falsas o que otros empleados transfieran dinero o información confidencial.

Cómo prevenir el spear phishing

La ciberseguridad tradicional contra el spear phishing suele no ser suficiente para prevenir estos ataques, porque están muy bien ejecutados. Por este motivo, cada vez son más difíciles de detectar. Un simple error puede tener graves consecuencias para el objetivo, ya sea una persona, un gobierno, una empresa o una organización sin ánimo de lucro. A pesar de la prevalencia de estos ataques, y de la sofisticación de su personalización, existen muchas medidas que los particulares o las organizaciones pueden aplicar para prevenir el spear phishing. Aunque no erradicarán por completo la amenaza de estos ataques, ofrecen capas adicionales de seguridad que harán que sea menos probable que se produzcan. A continuación, se detallan algunos consejos de expertos sobre cómo prevenir el spear phishing.

  1. Realizar revisiones periódicas para detectar correos electrónicos dudosos, como los que solicitan cambios de contraseña o contienen vínculos sospechosos.
  2. Usar una red virtual privada (VPN) para proteger y cifrar toda la actividad en línea.
  3. Usar un programa antivirus para analizar todos los correos electrónicos en busca de archivos adjuntos, vínculos o descargas potencialmente maliciosos.
  4. Aprender a comprobar la veracidad de una fuente de correo electrónico.
  5. Aprender a verificar las URL y los sitios web para evitar abrir vínculos maliciosos.
  6. En lugar de hacer clic en los vínculos de un correo electrónico, ir independientemente al sitio web de la organización y buscar la página necesaria.
  7. Asegurarse de que todo el software esté actualizado y ejecute los últimos parches de seguridad.
  8. Tener cuidado de compartir demasiados datos personales en Internet; si es necesario, comprobar los perfiles en las redes sociales y eliminar todo aquello que pueda ser utilizado por los estafadores, y asegurarse de que la configuración de privacidad esté al máximo nivel.
  9. Usar un administrador de contraseñas y adoptar hábitos inteligentes, como crear contraseñas complejas para diferentes cuentas y cambiarlas con regularidad.
  10. Siempre que sea posible, activar la autenticación multifactor o biométrica.
  11. Si surgen dudas acerca del origen de un correo electrónico, contactar a la persona u organización para verificar si lo ha enviado y si ha requerido la información solicitada.
  12. Las empresas pueden impartir cursos de concienciación sobre seguridad para garantizar que los empleados sepan los riesgos de estos ataques y cómo mitigarlos.
  13. Las organizaciones pueden realizar simulacros de phishing con regularidad para entrenar a los empleados sobre cómo reconocer y tratar los correos electrónicos sospechosos.

Los ataques de spear phishing no son inevitables

La mayoría de los usuarios de Internet tienen nociones básicas de phishing, pero es importante entender cuál es la diferencia entre el spear phishing y el phishing estándar. Debido a que los correos electrónicos de spear phishing utilizan técnicas de ingeniería social que requieren una investigación compleja, estos ataques están altamente personalizados para sus objetivos previstos y, por lo tanto, tienen una probabilidad de éxito mucho mayor que el ataque de phishing estándar. Aunque estos ataques siempre supondrán un riesgo, es posible intentar mitigarlos. Tomar medidas para saber a qué tipo de señales de advertencia hay que prestar atención en los correos electrónicos sospechosos, utilizar VPN y programas antivirus regularmente y desconfiar de vínculos y archivos adjuntos sospechosos puede ser útil para evitar los ataques de spear phishing.

Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium ha recibido cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.

Artículos y vínculos relacionados:

Cómo evitar los ciberataques

Han pirateado mi correo electrónico, ¿qué debo hacer?

Formas de evitar ataques de ingeniería social

Productos y servicios relacionados

Kaspersky Standard

Kaspersky Endpoint Security Cloud

Kaspersky VPN Secure Connection

Kaspersky Premium - Información sobre el producto

Descarga Kaspersky Antivirus Premium y prueba gratis

Kaspersky Standard - Descarga y prueba gratis

¿Qué es el spear phishing? Definición y riesgos

Los ataques de spear phishing suponen un riesgo importante. Pero ¿qué son estos ciberataques y cómo pueden protegerse los usuarios?
Kaspersky logo

Artículos relacionados