Blog/El ABC de la seguridad online/

¿Qué es el spear phishing?

Benjamin Scott
spear phising

Empresas que han sufrido un hackeo a raíz de un solo correo electrónico. Grandes sumas de dinero robadas o pagadas como rescate. Y todo, solo porque un empleado hizo clic en un enlace malicioso. Por desgracia, los ataques de phishing (suplantación de identidad) afectan a numerosas empresas cada año. Son difíciles de prevenir, pero conocer los diferentes tipos de phishing ayuda a detectarlos antes de que sea demasiado tarde. Por eso, vamos a explicar en qué consiste el spear phishing.

Índice:

¿Cómo funcionan los ataques de spear phishing?

Cuando un delincuente quiere robarle dinero a una empresa o instalar malware en sus sistemas, es probable que escoja como objetivo al eslabón más débil de la empresa: los empleados. Selecciona a una persona que tenga suficiente poder y derechos de acceso dentro de la empresa y, a continuación, trata de averiguar todo lo que pueda sobre ella.

Para conseguirlo, tal vez se fije en sus redes sociales o las de sus amistades. Los tuits, las historias de Instagram y el geoetiquetado pueden ser útiles para elaborar el perfil de una persona. Incluso el sitio web de la empresa puede ser una fuente de información útil, por no mencionar todo lo que podría descubrir el atacante espiando las comunicaciones online de su víctima.

Una vez que el delincuente conoce bien a la persona, puede enviar correos electrónicos a sus compañeros de trabajo haciéndose pasar por ella. O quizá escriba directamente a la persona, fingiendo ser un cliente importante y pidiéndole algún favor o un pequeño trabajo.

Este tipo de ataque, consistente en seleccionar un objetivo concreto, se denomina «spear phishing» o suplantación de identidad específica. Como un pescador que utiliza un arpón para capturar un gran pez, el atacante utiliza la ingeniería social para engañar a una persona para que haga algo.

Diferencias entre spear phishing y phishing

El phishing es el ataque de ingeniería social más frecuente. Los ataques de phishing normales se dirigen al público general, a los usuarios de un determinado servicio, etc. Los atacantes envían cientos e incluso miles de correos electrónicos con la esperanza de que algunas personas piquen. La mayoría de estos correos están mal redactados, tienen tipos de letra extraños y presentan numerosas erratas.

Por otro lado, el spear phishing implica investigar y hacer muchos preparativos. Los atacantes se dirigen a una persona específica, por lo que dedican más tiempo a preparar el correo de phishing para que parezca auténtico. Estas falsificaciones están tan bien elaboradas que incluso los profesionales pueden tener dificultades para detectarlas; no digamos las personas que tienen que leer decenas de correos cada día. Esta táctica es más difícil de llevar a cabo que los intentos de phishing habituales. Pero si el hacker tiene éxito, obtiene toda la información y el acceso que necesita para finalizar su ataque.

Ejemplo de spear phishing

Imagina que recibes un correo de trabajo que dice: «Hola, Laura: ¿Podrías ocuparte de esta factura por mí? ¡Gracias!» Si te llamas Laura, sueles gestionar facturas en la empresa y tu jefe siempre termina sus correos electrónicos con un «¡Gracias!», seguro que te descargas la factura adjunta y transfieres el dinero.

Seguramente descubrirás que el correo era falso al cabo de unas horas o al día siguiente, pero de todas formas la empresa no va a recuperar el dinero. El delincuente vigiló los mensajes de tu jefe, descubrió quién se encarga de las facturas, cómo se llama y cuál es su dirección de correo, y escribió un mensaje copiando perfectamente la manera de expresarse del jefe. Incluso imitó el nombre del remitente y lo envió. Lo único que podría haber revelado el engaño era la dirección de correo electrónico. Sin embargo, la gente no suele mirar la dirección del remitente en todos los mensajes que recibe.

¿Cómo evitar el spear phishing?

Las empresas y organizaciones son los objetivos más frecuentes del spear phishing. Hay varias cosas que cualquier empresa puede hacer para mitigar el riesgo del spear phishing. Sin embargo, la mayor parte se centra en la formación del personal.

Tanto si tu empresa tiene su propio departamento informático como si subcontrata estos trabajos, habla con las personas que gestionan tus sistemas de correo electrónico. Estudia la posibilidad de aplicar medidas estándar como filtros antispam, antivirus y filtros del navegador. Si manejáis muchas facturas cada día, las recomendaciones de no hacer clic, no descargarlas, etc. no son viables. Por eso, lo mejor es intentar cambiar el proceso. Por ejemplo, se puede exigir que al menos dos personas confirmen cualquier transacción financiera antes de enviar el dinero.

Además, las empresas deben animar a sus empleados a utilizar la autenticación de dos factores siempre que sea posible. De este modo, aunque se filtre una contraseña, la cuenta asociada no correrá peligro, ya que el atacante no podrá acceder sin el segundo factor. Quizá los empleados tarden un tiempo en acostumbrarse, sobre todo los que no se manejen bien con la tecnología, pero a la larga valdrá la pena. Tendrás la seguridad de que, aunque un correo de phishing consiga engañar a alguien, las cuentas de la empresa estarán a salvo.

Otro aspecto importante que se debe tener en cuenta es la cultura laboral de la empresa. A muchos empleados les cuesta contradecir a sus jefes. Por eso, si reciben un correo de spear phishing, harán todo lo que se les pida en él sin cuestionar los motivos que hay detrás. Es una costumbre difícil de abandonar, pues implica cambiar la manera en que las personas de la empresa se comunican entre sí. Pero si trabajáis con información confidencial, podría ser una buena estrategia.

Medidas de ciberseguridad personal

Si los hackers quieren atacar la empresa para la que trabajas, quizá traten de ponerse en contacto contigo escribiéndote a tu correo electrónico personal. Existen varios consejos de ciberseguridad personal que puedes seguir para no caer en la trampa del spear phishing:

  • Ten cuidado con los correos electrónicos, aunque procedan de un compañero de trabajo o un amigo. Si te piden información personal sin venir a cuento, asegúrate de que son ellos antes de enviar nada. ¿Utilizas un lenguaje informal en tus correos electrónicos de trabajo? En ese caso, si un compañero utiliza un tono más oficial que de costumbre, desconfía. Analiza el mensaje cuidadosamente antes de hacer nada.

  • No compartas demasiada información en Internet. Si puedes, configura la privacidad de tus cuentas para que solo las personas que conoces puedan ver tus publicaciones. Y aun así, no des demasiada información personal. No utilices etiquetas geográficas, no des a conocer tus planes para las vacaciones y no reveles datos personales como tu número de teléfono, número de tarjeta de crédito, cumpleaños, etc. De este modo, los atacantes lo tendrán más difícil para elaborar tu perfil.

  • Utiliza software actualizado y analiza tus dispositivos de vez en cuando para detectar malware. El malware puede introducirse en tu portátil o smartphone de muchas maneras sin que te des cuenta, así que analiza y actualiza tus dispositivos periódicamente.

  • Utiliza contraseñas complejas y diferentes en cada cuenta. De esta manera, aunque una se vea comprometida, el resto de tus cuentas estarán a salvo. Hazte con un gestor de contraseñas para almacenar todas tus contraseñas de forma segura. De este modo, no tendrás que recordar ni anotar ninguna de ellas. ¿Necesitas ayuda para crear nuevas contraseñas? Prueba a utilizar nuestro generador de contraseñas para conseguir los mejores resultados.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.