Empresas que han sufrido un hackeo a raíz de un solo correo electrónico. Grandes sumas de dinero robadas o pagadas como rescate. Y todo ello, solo porque un empleado hizo clic en un enlace malicioso. Por desgracia, los ataques de phishing (suplantación de identidad) afectan a numerosas empresas cada año. Son difíciles de prevenir, pero conocer los diferentes tipos de phishing ayuda a detectarlos antes de que sea demasiado tarde. Por eso, vamos a explicar en qué consiste el spear phishing.
Índice
¿Cómo funcionan los ataques de spear phishing?
Cuando un delincuente quiere robarle dinero a una empresa o instalar malware en sus sistemas, es probable que escoja como objetivo al eslabón más débil de la empresa: los empleados. Selecciona a una persona que tenga suficiente poder y derechos de acceso dentro de la empresa y, a continuación, trata de averiguar todo lo que pueda sobre ella.
Para conseguirlo, tal vez se fije en sus redes sociales o las de sus amistades. Los tuits, las historias de Instagram y el geoetiquetado pueden ser útiles para elaborar el perfil de una persona. Incluso el sitio web de la empresa puede ser una fuente de información útil, por no mencionar todo lo que podría descubrir el atacante espiando las comunicaciones online de su víctima.
Una vez que el delincuente conoce bien a la persona, puede enviar correos electrónicos a sus compañeros de trabajo haciéndose pasar por ella. O quizá escriba directamente a la persona, fingiendo ser un cliente importante y pidiéndole algún favor o un pequeño trabajo.
Este tipo de ataque, consistente en seleccionar un objetivo concreto, se denomina «spear phishing» o suplantación de identidad específica. Literalmente significa «pesca con lanza», ya que a semejanza de un pescador que utiliza una lanza para capturar un único pez grande, el atacante utiliza la ingeniería social personalizada para engañar a una sola persona y lograr que haga algo.
Diferencias entre spear phishing y phishing
El phishing es el ataque de ingeniería social más frecuente. Los ataques de phishing normales se dirigen al público general, a los usuarios de un determinado servicio, etc. Los atacantes envían cientos e incluso miles de correos electrónicos con la esperanza de que algunas personas piquen. La mayoría de estos correos están mal redactados, tienen tipos de letra extraños y presentan numerosas erratas.
Por otro lado, el spear phishing implica investigar y hacer muchos preparativos. Los atacantes se dirigen a una persona específica, por lo que dedican más tiempo a preparar el correo de phishing para que parezca auténtico. Estas falsificaciones están tan bien elaboradas que incluso los profesionales pueden tener dificultades para detectarlas; no digamos las personas que tienen que leer decenas de correos cada día. Esta táctica es más difícil de llevar a cabo que el phishing normal, pero si tiene éxito, el hacker conseguirá toda la información y el acceso que necesita para culminar su ataque.
Ejemplo de spear phishing
Imagina que recibes un correo de trabajo que dice: «Hola, Laura: ¿Podrías ocuparte de esta factura por mí? ¡Gracias!». Si te llamas Laura, sueles encargarte de las facturas en la empresa y tu jefe siempre termina los mensajes diciendo «¡Gracias!», descargarás la factura adjunta y transferirás el dinero.
Seguramente descubrirás que el correo era falso al cabo de unas horas o al día siguiente, pero no por ello la empresa va a recuperar el dinero. El delincuente vigiló los mensajes de tu jefe, descubrió quién se encarga de las facturas, cómo se llama y cuál es su dirección de correo, y escribió un mensaje copiando perfectamente la manera de expresarse del jefe. Incluso imitó el nombre del remitente y lo envió. Lo único que podría haber revelado el engaño era la dirección de correo electrónico. Sin embargo, la gente no suele mirar la dirección del remitente en todos los mensajes que recibe.
¿Cómo evitar el spear phishing?
Las empresas y organizaciones son los objetivos más frecuentes del spear phishing. Con el fin de reducir el riesgo, las empresas pueden tomar diversas medidas, aunque la mayoría de ellas pasan por formar al personal.
Tanto si tu empresa tiene su propio departamento informático como si subcontrata estos trabajos, habla con las personas que gestionan tus sistemas de correo electrónico. Estudia la posibilidad de aplicar medidas estándar como filtros antispam, antivirus y filtros del navegador. Si manejáis muchas facturas cada día, las recomendaciones de no hacer clic, no descargarlas, etc. no son viables. Por eso, lo mejor es intentar cambiar el proceso. Por ejemplo, se puede exigir que al menos dos personas confirmen cualquier transacción financiera antes de enviar el dinero.
Además, las empresas deben animar a sus empleados a utilizar la autenticación de dos factores siempre que sea posible. De este modo, aunque se filtre una contraseña, la cuenta asociada no correrá peligro, ya que el atacante no podrá acceder sin el segundo factor. Quizá los empleados tarden un tiempo en acostumbrarse, sobre todo los que no se manejen bien con la tecnología, pero a la larga valdrá la pena. Tendrás la seguridad de que, aunque un correo de phishing consiga engañar a alguien, las cuentas de la empresa estarán a salvo.
Otro aspecto importante que se debe tener en cuenta es la cultura laboral de la empresa. A muchos empleados les cuesta contradecir a sus jefes. Por eso, si reciben un correo de spear phishing, harán todo lo que se les pida en él sin cuestionar los motivos que hay detrás. Es una costumbre difícil de abandonar, pues implica cambiar la manera en que las personas de la empresa se comunican entre sí. Pero si trabajáis con información confidencial, podría ser una buena estrategia.
Medidas de ciberseguridad personal
Si los hackers quieren atacar la empresa para la que trabajas, quizá traten de ponerse en contacto contigo escribiéndote a tu correo electrónico personal. Existen varios consejos de ciberseguridad personal que puedes seguir para no caer en la trampa del spear phishing:
Ten cuidado con los correos electrónicos, aunque procedan de un compañero de trabajo o un amigo. Si te solicitan información personal inesperadamente, comprueba que realmente son quienes dicen ser antes de enviar nada. ¿Usáis un lenguaje informal en los correos de trabajo? En ese caso, si un compañero utiliza un tono más oficial que de costumbre, desconfía. Analiza el mensaje cuidadosamente antes de hacer nada.
No compartas demasiada información en internet. Si puedes, configura la privacidad de tus cuentas para que solo las personas que conoces puedan ver tus publicaciones. Y aun así, no des demasiada información personal. No utilices etiquetas geográficas, no des a conocer tus planes para las vacaciones y no reveles datos personales como tu número de teléfono, número de tarjeta de crédito, cumpleaños, etc. De este modo, los atacantes lo tendrán más difícil para elaborar tu perfil.
Utiliza software actualizado y analiza tus dispositivos de vez en cuando para detectar malware. El malware puede introducirse en tu portátil o smartphone de muchas maneras sin que te des cuenta, así que analiza y actualiza tus dispositivos periódicamente.
Utiliza contraseñas complejas y diferentes en cada cuenta. De esta manera, aunque una se vea comprometida, el resto de tus cuentas estarán a salvo. Descarga un gestor de contraseñas para guardarlas todas a buen recaudo. Así no tendrás que recordarlas ni apuntarlas en un papel. ¿Necesitas ayuda para crear nuevas contraseñas? Prueba nuestro generador de contraseñas y consigue los mejores resultados.