Spear phishing: ciberataques personalizados
El spear phishing es una forma de phishing dirigida en la que los atacantes envían correos electrónicos o mensajes personalizados a personas u organizaciones específicas para robarles información confidencial o introducir malware. A diferencia del phishing general, el spear phishing se basa en información personal sobre la víctima para parecer especialmente creíble.
¿Qué es el spear phishing?
El principio del phishing es sencillo: los estafadores crean correos electrónicos, páginas web e incluso mensajes cortos de carácter falso que parecen auténticos y que solicitan información de inicio de sesión de los usuarios. Es así como los estafadores se hacen con los datos de acceso para tiendas online, redes sociales o espacios de almacenamiento en la nube.
El spear phishing es una variante del phishing. En lugar de dirigirse a un público lo más amplio posible con, por ejemplo, correos de spam, los delincuentes seleccionan cuidadosamente a su grupo objetivo. Gracias a información específica del grupo seleccionado, son capaces de crear mensajes y páginas web muy creíbles. Esta técnica requiere un esfuerzo mayor, pero su tasa de éxito también resulta mucho más alta.
¿Cómo funciona el spear phishing?
Este tipo de ataque selecciona a una víctima concreta y el engaño se adapta de forma precisa a la persona elegida. Por eso, el principal foco de estos ataques suelen ser empresas y organizaciones. Los agentes que emplean esta variante de phishing también suelen diferenciarse de los estafadores habituales. En lugar de recopilar todo tipo de información aleatoria para venderla en la darknet (red oscura) al mejor postor, estos ladrones actúan directamente contra la víctima elegida para perjudicar directamente a la empresa u organización afectada. Además del robo de datos bancarios, también se cometen delitos de espionaje industrial y ciberataques a objetivos militares o la infraestructura de una región.
En la fase inicial de la estafa, los delincuentes investigan a su objetivo y recopilan información para que su mensaje resulte más creíble en las siguientes fases. A continuación, elaboran un correo electrónico adaptado minuciosamente a la organización en cuestión. Por lo general, suelen usar una supuesta figura de autoridad o un supuesto socio comercial como remitente. Por eso, el spear phishing goza de un índice de éxito especialmente elevado entre las grandes multinacionales y grupos empresariales, ya que no todo el mundo conoce a todos los implicados de la estructura corporativa al completo. Así, consiguen que la víctima revele datos sensibles o se descargue software malicioso.
- Protección de datos y seguridad profesional
- Cifrado de correo electrónico con SSL/TLS
- Máxima protección antivirus gracias a cortafuegos y filtros antispam
- Copias de seguridad diarias, protección diaria
Explicación del spear phishing por medio de un ejemplo
Supongamos que un estafador ha elegido un grupo empresarial multinacional como víctima. En primera instancia, intentará reunir la mayor cantidad posible de información sobre la empresa: ¿cuál es su estructura? ¿Cómo funciona la comunicación interna? ¿En qué sectores opera la actividad de la empresa? También intentará hacerse con una lista de distribución de correo electrónico para conseguir las direcciones de correo necesarias. El atacante no enviará el correo electrónico a toda la empresa, puesto que el riesgo de que lo descubran y que toda la empresa quede en estado de alerta es demasiado elevado. En su lugar, el estafador personaliza el mensaje para cada destinatario y en su mensaje se dirige directamente a ellos. El atacante ya ha recopilado información detallada de los empleados a través de las redes sociales. Por eso, el mensaje parece especialmente creíble a ojos de la víctima. Por norma general, se suele elegir un supuesto empleado de alto rango de otra filial como autor del correo electrónico. El nombre y la dirección del remitente son muy fáciles de falsificar y así, a primera vista, no parece que el mensaje haya sido enviado por otra persona.
En el correo electrónico, el atacante incluye un botón que dirige a la víctima a una página web falsa al hacer clic. En este proceso, se oculta el verdadero destino del enlace. En cuanto el usuario haya accedido a la página web, se puede instalar software malicioso en un segundo plano. Si este software se extiende por el ordenador de la víctima, es posible que el estafador pueda espiar toda la red corporativa de la empresa.
En este punto, la víctima todavía cree que ha visitado una página web convencional para participar, por ejemplo, en una encuesta. Así, el virus se puede extender por toda la red corporativa sin ser detectado y el atacante obtiene acceso pleno a la red y puede interferir en procesos importantes para la empresa.
- Dirección personalizada
- Protección contra virus y spam
- Acceso a tus correos desde cualquier lugar
¿Cómo puedes protegerte del spear phishing?
Consejo 1: mantén una actitud de desconfianza
La mejor defensa ante el spear phishing es un buen nivel de desconfianza. Si no accedes a un enlace desconocido ni abres un anexo sospechoso, en principio, no puedes convertirte en víctima de estos ataques. El problema radica en que estos ataques (a diferencia de los correos electrónicos de phishing más comunes) están muy bien elaborados. Mientras que, en los correos habituales de spam, las faltas de ortografía y las afirmaciones sin sentido del mensaje ya nos hacen sospechar del carácter dudoso del correo, los mensajes de spear phishing están mucho mejor hechos. Transmiten seriedad y autenticidad.
Consejo 2: mantén la cabeza fría
Los ataques de spear phishing se aprovechan de los puntos débiles de las personas, principalmente la curiosidad y el miedo. Las personas excesivamente preocupadas por perderse un asunto importante corren mayor riesgo de dejar a un lado su desconfianza y caer en la trampa. Por eso, a menudo, los mensajes spear phishing te prometen oportunidades que podría impulsar tu carrera profesional o usan un tono tan autoritario que parece que te enfrentarás a graves consecuencias si no haces caso a su contenido.
Consejo 3: protege los datos sensibles
El spear phishing solo puede funcionar si el atacante es capaz de recopilar suficiente información sobre la víctima. La primera vía para conseguir esta información son las cuentas de redes sociales. Por lo tanto, es recomendable no facilitar demasiada información en estas redes, sobre todo, si se trata de información relativa al trabajo. mediante técnicas de ingeniería social, los estafadores intentan hacerse con más información. De nuevo, hay que extremar la precaución: nunca se debe facilitar información sensible, por mucha confianza que nos transmita el contacto.
Consejo 4: comprueba el remitente en el protocolo de envío
En el propio mensaje también se puede detectar su carácter ilegítimo. Sobre todo, en el caso de los correos electrónicos, siempre es recomendable revisar con atención el remitente. Aunque el nombre y la dirección del remitente pueden estar falsificados, en el protocolo de envío del correo electrónico aparecerá la dirección real que se ha empleado. Muchos programas modernos de correo electrónico, como Outlook, han sustituido la fuente del correo electrónico por un nombre de muestra, no obstante (con mayor o menor complicación), se puede consultar el encabezado de un correo electrónico. Si allí detectas que la dirección de origen no coincide con la del remitente, es muy probable que se trate de un fraude.
Consejo 5: evita el uso de HTML y la descarga automática de imágenes
Otra medida de seguridad para el intercambio de correos electrónicos consiste en evitar HTML y no permitir que las imágenes se recarguen de forma automática. De esta forma evitarás que los programas maliciosos accedan al ordenador al abrir el mensaje.
Consejo 6: no abras los archivos adjuntos
Por norma general, nunca debes abrir los archivos adjuntos de remitentes desconocidos. Antes de nada, debes comprobar la identidad del remitente. Aunque el remitente parezca fiable, haces bien en desconfiar si no te habías comunicado previamente con él e, incluso si parece conocido, no debes abrir documentos anexos que no esperas de este remitente. El ordenador del remitente conocido podría haber sido infectado ya por un programa malicioso. En caso de duda, contacta con el remitente para confirmar la autenticidad del correo.
Consejo 7: comprueba exhaustivamente los enlaces y las URL
También debes tener mucho cuidado con las direcciones de Internet que se esconden tras un enlace. Se pueden ver antes de hacer clic en el hipervínculo. Mediante la falsificación de URL (spoofing) los atacantes intentan que su dominio parezca una dirección legítima. Pero si prestas un poco de atención, puedes detectar esta trampa rápidamente. Conviene expandir las direcciones acortadas para ver el destino real.
Consejo 8: protege tus correos electrónicos contra la falsificación del remitente
Además de las medidas de protección individuales, la configuración técnica del servidor de correo desempeña un papel crucial en la lucha contra el spear phishing. Con los registros SPF, DKIM y especialmente DMARC, es posible proteger las direcciones de los remitentes, de modo que los correos electrónicos que supuestamente provienen de un dominio puedan verificarse técnicamente. De esta manera, una empresa puede evitar que los ciberdelincuentes envíen mensajes falsificados en nombre de su dominio.
Las dos mejores formas de defenderse contra el spear phishing son la desconfianza sana y la comunicación transparente con los compañeros de trabajo. Si preguntas cuando recibes mensajes sospechosos de remitentes desconocidos del círculo de tus compañeros e intentas identificar a los supuestos remitentes, podrás destapar rápidamente los intentos de estafa.