Spear phishing: ¿qué es y cómo protegerse de este ataque?

Incluso los cibernautas que conocen mejor la tecnología y cuentan con ciertos conocimientos en ciberseguridad, pueden ser víctimas de esta práctica delictiva. La clave del éxito del spear phishing es el alto grado de personalización, haciendo muy difícil la identificación de la estafa.

Los ciberdelincuentes que se dedican a lanzar ataques spear phishing siguen este “modus operandi”:

1. Decidir quién será la víctima. Los profesionales de spear phishing desean obtener un beneficio mayor al de los convencionales ataques phishing. En el punto de mira suelen estar los profesionales que desempeñan tareas de gran responsabilidad en las grandes empresas, pero también incluyen a las personas con cargos importantes en el sector público.
2. La investigación. Para que el ataque esté dirigido a una persona en particular, es necesario saber cuál es su correo electrónico y un poco de información general, como sus rutinas o aficiones. Las redes sociales son la mejor hemeroteca, ahí los hackers pueden espiar qué le gusta hacer en su tiempo libre y conseguir datos más concretos, como el email de la empresa publicado en su perfil de LinkedIn.
3. El mensaje a medida. El texto del email que se envía a la víctima o el mensaje, en el formato que sea, que finalmente llega a dicha persona, está hecho a la medida. Incluye elementos del interés de la potencial víctima, ya que, por ejemplo, el hacker se hace pasar por un cliente cuya información tiene sentido. Sin embargo, como dice el refrán, las apariencias engañan y a la hora de usar un correo electrónico corporativo, urge ser cautos.

Ahora que has comprobado cómo funciona el spear phishing y por qué es tan peligroso este tipo de malware, nos gustaría seguir mostrando sus características y los métodos con los que cuentas para protegerte en la red.

Existen diversas diferencias entre un ataque phishing y un spear phishing, ya que no presentan características idénticas. Por este motivo, a la hora de definir qué es el spear phishing, no te dejes llevar solo por la segunda palabra que compone este término tecnológico.

Un ataque phishing es una práctica delictiva propia de la ingeniería social que busca víctimas de forma aleatoria, el hacker no ha planeado robar los datos personales de una identidad o persona en particular, simplemente espera a que alguien “muerda el anzuelo”. La dinámica es sencilla, y un claro ejemplo es la famosa estafa nigeriana. El ataque cibernético consiste en un mail fraudulento que incluye enlaces maliciosos, cuando el usuario pinche en uno de los links, sin saberlo, le abrirá la puerta de su información confidencial al ciberdelincuente.

En cambio, el spear phishing requiere una planificación y el establecimiento de una víctima en particular o varios objetivos. Es decir, antes de poner en práctica este ciberataque, el hacker tiene claro a quién desea engañar. Por lo tanto, el spear phishing es más sofisticado que un simple ataque phishing, requiere de una investigación previa y un protocolo a seguir.

Los expertos en ciberseguridad advierten del peligro que conlleva el spear phishing, un ataque cibernético que ya ha demostrado ser muy efectivo. Para entender mejor qué es el spear phishing en español, te presentaremos en el siguiente apartado algunos ejemplos y casos prácticos para identificarlo a tiempo y no ser la próxima víctima.

Hemos resumido las principales diferencias entre phishing vs. spear phishing en la siguiente tabla:

Te puedes encontrar con un ataque spear phishing en diferentes escenarios, pero simplemente hemos querido señalar los más frecuentes.

• Los cargos de responsabilidad están en el punto de mira de los hackers especializados en spear phishing. Parece lógico que, de planear un ciberataque, el objetivo sea un profesional con acceso a mucha información confidencial: balances, nóminas, próximos lanzamientos… Los hackers que se dedican a difundir ataques spear phishing en la red quieren picar alto, así que las empresas deben reforzar sus medidas de ciberseguridad, un simple mail podría comprometer toda una infraestructura.
• Las redes sociales y perfiles profesionales actúan como una guía de contactos para el spear phishing. A la hora de planificar los ataques, los ciberdelincuentes revisan los perfiles profesionales de las personas que ocupan cargos directivos, por ejemplo, en LinkedIn. Una vez identificada la potencial víctima, la recolección de datos puede incluir sus perfiles en redes sociales o publicaciones que haya hecho en línea. Cuantos más datos se conozcan, mayor será el nivel de personalización del mensaje phishing, así que se presupone que será sencillo engañar a la potencial víctima.
• Los mensajes muy concretos, con apariencia muy real, son una verdadera amenaza. Si en algún momento recibes un correo electrónico de uno de tus empleados, lo cual encaja porque habla de un proyecto en el que estáis trabajando, pero ves que aparecen demasiados datos personales para ser un simple correo electrónico, verifica a conciencia quién te lo envía y no abras ningún archivo adjunto (aunque se titule “útlimas revisiones del proyecto”). Probablemente, sea un intento de spear phishing y el hacker que hay detrás sabe tus aficiones, por eso ha diseñado un disfraz perfecto para su ciberataque.
• Los ciberdelincuentes de spear phishing son perfectos imitadores. ¿Has oído hablar del vishing? Es un tipo de ciberataque que consiste en imitar la voz del empleado de una entidad legítima. Es muy difícil ponerles freno y esta práctica puede formar parte del spear phishing. Tal vez la conversación derive en la solicitud de una cantidad concreta de dinero, aludiendo que la cuenta de tu banca electrónica necesita cubrir los gastos de administración, por plantear solo un caso.
• La inteligencia artificial presenta nuevos escenarios de spear phishing. A medida que avanza la tecnología de la AI, los expertos en ciberseguridad advierten del perfeccionamiento de los engaños en línea, que cada vez son más complejos y adoptan un aspecto muy real.

Puedes protegerte del spear phishing siguiendo buenas conductas cuando navegues por la red. Ya te hemos advertido que cualquiera puede ser víctima de spear phishing, en especial si ocupas cargos de gran responsabilidad o manejas información confidencial de terceros, por lo que necesitas empezar a aplicar estos consejos de ciberseguridad:

• No abras todos los archivos adjuntos que llegan a tu bandeja de entrada. El engaño del spear phishing consiste en enviar archivos maliciosos o links falsos que solo sirven para robar tus datos personales. Antes de descargar un archivo, aunque parezca un simple PowerPoint del departamento de RR. HH., piénsatelo dos veces,
• Verifica siempre quién te envía un mail. La prevención es el principio básico de la seguridad online, por eso es esencial que eches un vistazo a la dirección del remitente para saber si deberías ignorar el mensaje o abrirlo. Reporta cualquier tipo de mensaje que te parezca extraño.
• No publiques demasiada información personal en la red. Ni siquiera es recomendable hacer público tu correo electrónico corporativo en internet, incluso si se trata de LinkedIn. En lugar de esta vía de comunicación, si necesitas contactar con clientes a través de posts en LinkedIn, es aconsejable optar por formularios de contacto online.
• Explicar qué es spear phishing es el primer paso para protegerse. Parece demasiado obvio incluir este consejo, pero no todas las empresas están capacitando a su plantilla en materia de ciberseguridad. Conocer el significado de los ataques spear phishing permitirá ser más conscientes del peligro y protegerse de forma activa. La activación de barreras como la autentificación multifactor, una función que se configura de forma sencilla, puede marcar la diferencia. Sin embargo, para aplicar medidas de seguridad extra, es imprescindible entender por qué son necesarias.
• Actualizar las apps, sistemas operativos y aprovechar las funciones extra. Las cuentas de correo electrónico convencionales ya ofrecen la opción de configurar la 2FA, y este es el primer paso para frenarle los pies a los estafadores online. Añadiendo esta capa de seguridad extra, les será más difícil llegar a tu información confidencial. NordVPN va más allá y ha diseñado la Protección contra amenazas, una función que detienen a los rastreadores, detecta malware durante la descarga y bloquea molestos anuncios.