Spear phishing: qué es y cómo evitarlo

Si ya ha leído alguno de nuestros artículos relacionados con artimañas de ingeniería social (phishing, smishing, whaling and vishing), entonces ya sabrá que muchos tipos de estafas se basan en los fundamentos del phishing. Pero es importante saber más acerca de la estafa más frecuente de todas: el spear phishing. Desafortunadamente, esta clase de fraude es el más peligroso para las empresas.

El spear phishing es la puerta de entrada para el 91% de los ciberataques

¿Qué es el spear phishing?

El spear phishing es un tipo de phishing muy específico en el que se identifica y engaña a la víctima usando información personal muy precisa, que se recopila con anterioridad. Por ejemplo, el hacker puede usar sus datos públicos obtenidos de sus cuentas de redes sociales para convencerle de que su mensaje es auténtico.

Digamos que ha comprado una casa nueva y ha publicado esta buena noticia en Facebook. Gracias a uno de sus comentarios en LinkedIn, el hacker descubre el nombre y la agencia de su banquero. Desde ahí en adelante, solo necesitará crear una dirección de E-mail aparentemente fiable y usar esa información, ¡y listo! Posteriormente, podrá solicitarle que transfiera dinero a una t0/>cuentas específica, haciéndole creer que es necesario para trámites relativos a su hipoteca. Si no tiene cuidado, así es como podrían estafarle.

A veces, los autores de este tipo de estafas pueden estar patrocinados por un gobierno. También pueden ser «hacktivistas» o cibercriminales que buscan información delicada para vendérsela a los gobiernos o a la competencia.

¿Cuál es la diferencia entre el phishing y el spear phishing?

Tal como seguramente habrá adivinado por el nombre, el spear phishing es realmente un tipo de phishing. El término «Phishing» abarca toda clase de ciberataques que intentan recopilar información sensible (números de tarjetas de crédito, contraseñas, número de seguridad social, etc.) mediante el engaño, el robo o la suplantación de identidad.

¿Cómo luce un ataque de phishing?

Los ataques de phishing típicamente se lanzan a gran escala. Van dirigidos a una gran cantidad de víctimas potenciales y no son personalizados. En la mayoría de los casos, todas estas personas son atacadas simultáneamente con un correo electrónico de suplantación de identidad que simula haber sido enviado por una organización auténtica.

Es probable que ya se haya visto expuesto a este tipo de estafas. Todos hemos recibido en alguna ocasión uno de estos correos, supuestamente enviados por una persona que necesita ayuda para transferir una enorme cantidad de dinero (típicamente docenas de millones de dólares) que tiene bloqueados en un banco nigeriano y que ofrece un jugoso porcentaje de esta fortuna a cambio de su colaboración. Con mucha frecuencias, conlleva el compartir nuestra información personal o de banca… la mayoría de las veces, estas estafas tienen su origen en Nigeria, lo que explica por qué se les llama las «Cartas Nigerianas» o fraudes «419» (porque es precisamente la sección 419 del código penal nigeriano en donde se prohíben estas acciones).

Los perpetradores de estos ataques de phishing no hacen mucho esfuerzo para que su mensaje resulte creíble. Con frecuencia, el texto de su correo electrónico es de mala calidad (con errores de deletreo, de idioma, referencias culturales erróneas) y queda clarísimo que es una estafa. La apuesta que hacen es que, de todos los que lo recibirán, alguno de ellos será lo suficientemente ingenuo como para clicar en el enlace o enviar la información personal solicitada.

¿Cuál es la diferencia con un ataque de spear phishing?

La diferencia principal entre el phishing y el spear phishing es que en este último, lo hackers atacan a una víctima específica, en vez de a una masa de gente a la vez.

En una gran proporción de estos ataques, las víctimas son ejecutivos o empleados en posiciones importantes, que les brindan acceso a ciertos hardware, software o privilegios en la organización en la que trabajan. Pero también pueden ser personas que hayan publicado información que los estafadores puedan explotar (como en el ejemplo de la compra del inmueble).

Antes de contactarles, los hackers habrán investigado para obtener la mayor cantidad de información posible acerca de la organización para la cual trabajan, el cargo que tienen, cómo se les llama (p.ej. los motes que utilizan), el nombre de su gerente o CEO, el nombre de un banco en que la organización tenga una cuenta, etc.

Después, la información se utiliza para crear un mensaje que simula a un correo electrónico real de esa organización, o de otra entidad que está en contacto. Los estafadores procuran hacerlo lo más creíble posible. Normalmente añaden gran cantidad de detalles que refuerzan la ilusión de veracidad (direcciones de E-mail muy parecidas, nombres de funcionarios reales, copias del logo, copias de menciones que se suelen emplear en correos electrónicos de la organización) de modo que el mensaje parezca lo suficientemente legítimo como para ganarse la confianza del destinatario.

Pueden incluir un URL para invitar al destinatario a visitar una página web falsa que hayan creado previamente para recopilar la información sensible recopilada (contraseñas, número de seguridad social, número de cuenta bancaria o de tarjetas de crédito, etc.). En algunos casos, se habrán ocupado de generar tráfico a esta web falsa para validar el nombre de dominio y engañar al software antivirus de la organización.

En otras ocasiones, pueden pretender ser un amigo que está en problemas y necesita una cierta suma de dinero, o pidiendo acceso a unas fotos específicas publicadas en las redes sociales.

Una tercera modalidad de spear phishing se sirve de un archivo adjunto que simula una factura o documento de algún tipo (pdf, archivo de Word o de Excel) que secretamente contiene un software malintencionado, una macro o un fragmento de código (p. ej. un keylogger). También puede ser un ransomware, un software que puede bloquear el sistema informático de la organización, obligándolos a pagar un rescate para desbloquearlo.

Los hackers frecuentemente explicarán que su solicitud de información delicada es urgente. Les dicen a sus víctimas que necesitan cambiar una contraseña a punto d caducar, o que tomen nota de ciertos cambios en un envío que se encuentran en un archivo adjunto, por ejemplo.

También es posible que intenten suplantar a un miembro sénior de la organización (típicamente el director general o un gerente implicado en transacciones de pago), solicitándole una transferencia urgente a un nuevo proveedor. A veces, esta urgencia se combina con la necesidad de mantener una confidencialidad estricta o de romper ciertos procedimientos, como el obtener la aprobación de un gerente.

Por último, también pueden intentar manipular las emociones y procurar usar la empatía para lograr que las víctimas obedezcan.

Todas estas estratagemas van orientadas a obtener una acción rápida por parte de la víctima, para que esta no tenga tiempo de pensarlo mucho…

Cuando tienen éxito, los estafadores logran hacerse pasar por sus víctimas, gracias a los datos personales, para ejecutar ciertas operaciones específicas (transferencias de dinero, robo de datos personales, robo de propiedad intelectual, publicación no deseada de mensajes perjudiciales en su nombre, etc.). En otros casos, hacen que sus objetivos cliquen en un enlace para disparar la descarga de un software malintencionado sin su conocimiento. O también obtienen una transferencia de dinero o una acción específica por parte de la víctima.

¿A quién puede ir dirigido?

Cualquier empleado de una organización puede ser objeto de un ataque de spear phishing. Sin embargo, algunas de estas estafas van dirigidas más específicamente a ejecutivos de alto nivel. Se les llama “ataques de whaling“. La mayoría de estos se dedican a suplantar al director general o a otro miembro sénior de la organización para imponer una orden incuestionable a la víctima.

Cabe destacar que los ejecutivos tienen una mayor probabilidad de ser marcados como objetivos en estos ataques, pero también son más proclives a ser engañados que otros miembros del personal. Esto es porque suelen estar muy ocupados y carecen del tiempo necesario para dedicarle la suficiente atención a sus correos electrónicos. A veces, simplemente subestiman la gravedad de la amenaza.

Por otra parte, son unos objetivos más fructíferos para el hacker, debido a mayor nivel de acceso y autoridad del que disfrutan.

También vale la pena mencionar que estos ciberataques se suelen lanzar contra empleados o ejecutivos que trabajan en procesos relacionados con pagos, como nóminas o facturación.

Por último, tenga presente que los individuos pueden resultar víctima de un cierto tipo de estafas: un hacker puede hacerse pasar por uno de sus amigos e invitarle a hacer clic en un interesante vídeo o página web… que oculta un ransomware que podría bloquear su teléfono.

¿Cómo detectar este tipo de fraudes?

La mayoría de las veces, los correos electrónicos de phishing están muy logrados, por lo que resulta muy difícil detectar la estratagema. Hasta las herramientas usadas para detectar preventivamente este tipo de correos electrónicos de estafa dentro de las organizaciones pueden fallar en su propósito de identificar mensajes con ataques de spear phishing.

Este también es el motivo por el que se han vuelto comunes (y se estima que ahora representan nada menos que el 91% del total de los ciberataques) y el por qué causan tanto daño.

Algunos consejos para ayudarle a detectar un correo electrónico de spear phishing

  1. Verifique siempre (por duplicado) cada elemento de información, especialmente los detalles del remitente. Es posible que solamente vea el nombre del remitente, pero preste atención también a la dirección de E-mail. Es muy poco probable que su banquero le envíe un correo desde una dirección parecida a «nombredelbanquero.nombredelbanco@gmail.com». Compruebe cuidadosamente la dirección de E-mail suministrada, incluso si parece provenir de una organización legítima. Busque un dígito «0» colocado en lugar de una letra «o», o una letra rusa “ш” en vez de una «w».
  2. ¿Hay algún detalle que parezca fuera de lo normal? Vea si hay diferencias en el formato. ¿Es diferente la firma? (¿aunque sea un poco?) ¿El correo electrónico está lleno de errores ortográficos, cosa que nunca ocurre con esta persona? ¿La forma en que se le interpela no le resulta familiar? Todos esos detalles deben disparar las alarmas y causarle suspicacia. Algunas características específicas podrían ser desconocidas por los hackers y es ahí donde se puede identificar al spear phishing.
  3. Al igual que verifica la dirección, verifique también cualquier enlace que se le envíe. ¿La URL real no es la misma que la del enlace en el que se pidió que clicara? Podría ser algo preocupante.
  4. Además, preste atención a la redacción y al argot utilizado. Una mención o expresión poco común o que nunca se haya utilizado en su organización debería levantar sospechas. Corrobore también la presencia de despedidas y saludos en el mensaje. ¿La despedida suele ser un «Gracias,» un «Atentamente» u otra cosa?
  5. Por último, si un clic en un archivo adjunto abre una ventana que indica que contiene una macro ¡cuidado!
  6. En caso de duda, no dude en confirmar el contenido de un correo electrónico por teléfono. ¡Una llamada rápida podría ahorrarle un montón de problemas! Más vale prevenir que lamentar.

¿Cómo evitar el spear phishing?

Los hackers pueden emplear diversos trucos para obtener información acerca de sus víctimas. Por ejemplo, pueden servirse de mensajes de «no disponibilidad» para descubrir cómo lucen los mensajes de correo electrónico de los empleados. Otros usan las redes sociales y otras fuentes públicamente disponibles para recopilar información.

Algunos consejos para ayudarle a evitar estos ataques

Además de tener cuidado, usted tiene otras opciones para evitar el spear phishing. Los hackers pueden ser muy ingeniosos, pero ser víctima de una estafa no es cuestión de vida o muerte, y usted puede protegerse a sí mismo y a sus datos con tan solo seguir los siguientes pasos:

  1. Tenga en mente que cualquier tipo de información (nombre, foto…) que se publique en redes sociales se puede usar malintencionadamente. Siempre que sea posible, haga que sus cuentas sean privadas y evite publicar demasiada información acerca de sus responsabilidades, proveedores, clientes, procesos u otros aspectos operativos de su empresa en sus perfiles de LinkedIn.
  2. Evite también el publicar demasiada información acerca de su personal en su página web. No ofrezca su correo electrónico. Mejor use un formulario para invitar a los visitantes que soliciten información.
  3. Preste atención a ofertas de empleo publicadas por su organización para cubrir vacantes en el departamento de TI. Asegúrese de que no sean demasiado específicas al hablar de detalles acerca del software y sistemas de ciberseguridad usados por su organización.
  4. Esté atento también a esta información en internet, y elimínela siempre que sea posible.
  5. Use siempre un sistema de seguridad de correo electrónico alojada y protección antispam para detener a cualquier correo electrónico dañino.
  6. En cualquier caso, nunca envíe información delicada, como credenciales y contraseñas, a nadie. Cuando se le envíen archivos adjuntos, escanéelos con su antivirus antes de abrirlos.
  7. Mantenga todo su software constantemente actualizado para evitar cualquier abuso de una violación a la seguridad.
  8. El conocimiento y la conciencia son la clave. Manténgase informado acerca de los últimos métodos de phishing.
  9. Las organizaciones necesitan entrenar a su personal y organizar simulaciones de ataques de spear phishing. Así podrán desarrollar un alto nivel de conciencia contra esta amenaza e identificar qué empleados son más vulnerables a estos tipos de estafas.
  10. Capacite a su personal para que reporte cualquier correo electrónico sospechoso al departamento de TI, y para que nunca cliquen sobre ninguna URL presente en un correo electrónico. Ellos deberían ser capaces de conectar directamente con la página web genuina.
  11. Tenga cuidado con cualquier correo electrónico inusual o inesperado, especialmente los que pretenden ser muy urgentes.
  12. Si su organización tiene un buen departamento de TI, es posible que valga la pena pedirles que marquen todos los correos electrónicos externos para que se puedan distinguir fácilmente de los correos electrónicos internos.
  13. Establezca reglas estrictas para el uso de las contraseñas. Prohíbales a sus empleados el reutilizar contraseñas o establecer contraseñas demasiado fáciles de adivinar.
  14. Establezca procesos de pago que impliquen múltiples aprobaciones ejecutivas.
  15. Evite cualquier política de «BYOD» y el uso de softwares, plataformas o aplicaciones externas que no hayan sido aprobadas explícitamente por su departamento de TI.
  16. La prevención también es importante, especialmente para víctimas potencialmente más frágiles, como usuarios mayores o niños. Si tiene alguna persona en su entorno que pueda resultar un objetivo fácil, adviértales acerca de los peligros del spear phishing. Si puede, manténgase atento a sus bandejas de entrada.
  17. Informe a su personal, a sus amigos y familiares acerca de los riesgos que conlleva el compartir información personal en redes sociales.
  18. Algunas herramientas se han creado específicamente para evitar el phishing. Aquí tiene algunas que puede usar para controlar cualquier URL antes de clicarla Where Goes, Redirect Detective y Redirect Check.
  19. Y por último, pero no por ello menos importante: use un proveedor de correo electrónico seguro como Mailfence, para proteger la privacidad y la seguridad de su correo electrónico.

Evitar el spear phishing es clave para mantener seguros sus datos personales. Si no se implementan una mínima cantidad de pasos para evitar este escenario, es muy posible que su correo electrónico termine por ser hackeado. Lea nuestros consejos para saber qué hacer en este caso, y contáctenos si tiene alguna pregunta acerca de la seguridad y la privacidad.

Mailfence es un paquete integrado de herramientas de colaboración con gran cantidad de funcionalidades para proteger sus datos personales. Si ya tiene una cuenta, entonces ya nos conoce. Si no, ¿a qué espera? Abra una cuenta gratis hoy mismo.

Obtenga su email seguro

Manténgase siempre al día con nuestros últimos artículos siguiéndonos en Twitter y Reddit. Para más información acerca del paquete de correo electrónico seguro de Mailfence, no dude en contactarnos a support@mailfence.com.

– El Equipo Mailfence

También te podría gustar...