Spear phishing: ciberataques personalizados

Gracias a los correos electrónicos de phishing los delincuentes acaban consiguiendo datos de acceso y contraseñas. No obstante, hoy en día, las probabilidades de que los usuarios caigan en el engaño de los mensajes falsos es bastante reducida. Ahora hay una nueva variante de este tipo de engaño, el spear phishing, mucho más concreta y, por lo tanto, peligrosa.

El principio del phishing es relativamente sencillo: los estafadores crean correos electrónicos, páginas web e incluso mensajes cortos de carácter falso que parecen auténticos y que solicitan información de inicio de sesión de los usuarios. Es así como los estafadores se hacen con los datos de acceso para tiendas online, redes sociales o espacios de almacenamiento en la nube. En el peor de los casos, se hacen incluso con información bancaria o datos de la tarjeta de crédito. Los estafadores saben que hay muchos usuarios que no se toman en serio la seguridad de las contraseñas y que usan una misma contraseña para diferentes servicios. De esta forma, con una página web de phishing sencilla se pueden obtener datos sensibles, información que tiene un alto valor económico en el mercado negro digital.

Además, con esta técnica, los delincuentes pueden copiar virus y otro tipo de software malicioso en los ordenadores de las víctimas para hacerse con el control del dispositivo. Por norma general, la víctima ni se entera y cree que simplemente ha abierto un correo electrónico inofensivo o visitado una página web segura.

Si prestas atención y compruebas los URL de forma minuciosa, no caerás en la trampa. La página web maligna no se encuentra en el servidor que espera el usuario y esto se puede detectar con un poco de atención. No obstante, siempre hay gente que no se fija. El beneficio de los delincuentes está en la masificación: los correos electrónicos de spam son prácticamente gratuitos para el emisor.

El spear phishing, en cambio, es mucho más específico. En este caso, se selecciona a una víctima concreta y el engaño se adapta de forma precisa a la persona elegida. Por eso, el principal foco de estos ataques suelen ser empresas y organizaciones. Los agentes que emplean esta variante de phishing también suelen diferenciarse de los estafadores habituales. En lugar de recopilar todo tipo de información aleatoria para venderla en la darknet (red oscura) al mejor postor, estos ladrones actúan específicamente contra la víctima seleccionada para causar daño a la empresa o la organización afectada. Por ello, al margen del robo de datos bancarios, también se perpetúan crímenes de espionaje industrial y ciberataques sobre objetivos militares o la infraestructura de una región.

En la fase inicial de la estafa, los delincuentes espían a su objetivo y recopilan información para aumentar su nivel de credibilidad en las siguientes fases. A continuación, elaboran un correo electrónico adaptado minuciosamente a la organización en cuestión. Por norma general, suelen usar una supuesta figura de autoridad o un socio comercial ficticio como remitente. Por eso, el spear phishing goza de un índice de éxito especialmente elevado entre las grandes multinacionales y grupos empresariales, ya que no todo el mundo conoce a todo los implicados de la estructura corporativa al completo. Así, consiguen que la víctima facilite datos sensibles o se descargue software malicioso.

Supongamos que un estafador ha seleccionado un grupo empresarial multinacional como víctima. En primera instancia, tratará de averiguar la máxima información posible sobre él: ¿cuál es la estructura de la empresa? ¿Cómo funciona la comunicación interna? ¿En qué sectores se sitúa la actividad de la empresa? También intentará hacerse con una lista de distribución de correo electrónico para conseguir las direcciones de correo necesarias. El atacante no enviará el correo electrónico a toda la empresa, puesto que el riesgo de que lo descubran y que toda la empresa quede en estado de alerta es demasiado elevado.

En su lugar, el estafador solo envía el correo electrónico a ciertas personas y en su mensaje se dirige directamente a ellas. El atacante ya ha recopilado información detallada de los empleados a través de las redes sociales. Por eso, el mensaje parece especialmente creíble a ojos de la víctima. Por norma general, se suele elegir un supuesto empleado de alto rango de otra filial como autor del correo electrónico. El nombre y la dirección del remitente son muy fáciles de falsificar y así, a primera vista, no parece que el mensaje haya sido enviado por otra persona.

En el correo electrónico, el atacante incluye un botón que dirige a la víctima a una página web falsa al hacer clic. En este proceso, se oculta el verdadero objetivo de la acción. En cuanto el usuario haya accedido a la página web, es posible cargar software malicioso en un segundo plano. Si este software se extiende por el ordenador de la víctima, es posible que el estafador pueda espiar toda la red corporativa de la empresa.

En este punto, la víctima todavía cree que ha visitado una página web convencional para participar, por ejemplo, en una encuesta. Así, el virus se puede extender por toda la red de la empresa sin que nadie se dé cuenta y el atacante obtiene acceso pleno a la red y puede interferir en procesos importantes para la empresa.

La mejor defensa ante el spear phishing es un buen nivel de desconfianza. Si no accedes a un enlace desconocido ni abres un anexo sospechoso, en principio, no te puedes convertir en víctima de estos ataques. El problema radica en que estos ataques (en contraposición a los correos electrónicos habituales de phishing) están muy bien elaborados. Mientras que, en los correos habituales de spam, las faltas de ortografía y las afirmaciones sin sentido del mensaje ya nos hacen sospechar del carácter dudoso del correo, los mensajes de spear phishing están mucho mejor hechos. Transmiten seriedad y autenticidad.

Este tipo de ataques juegan con los puntos débiles de las personas, principalmente la curiosidad y el miedo. Las personas excesivamente preocupadas por perderse un asunto importante corren mayor riesgo de dejar a un lado su desconfianza y caer en la trampa. Por eso, a menudo, los mensajes spear phishing te prometen información que podría impulsar tu carrera profesional o usan un tono tan autoritario que parece que te enfrentarás a graves consecuencias si no haces caso a su contenido.

El spear phishing solo puede funcionar si el atacante es capaz de recopilar suficiente información sobre la víctima. La primera vía para conseguir esta información son las cuentas de redes sociales. Por lo tanto, es recomendable no facilitar demasiada información en estas redes, sobre todo, si se trata de información relativa al trabajo. Empleando métodos de ingeniería social, los estafadores intentan hacerse con más información. De nuevo, hay que extremar la precaución: nunca se debe facilitar información sensible, no importa cuanta confianza nos transmita el contacto.

En el propio mensaje también se puede detectar su carácter ilegítimo. Sobre todo, en el caso de los correos electrónicos, siempre es recomendable echar un ojo al remitente. Aunque el nombre y la dirección del remitente pueden estar falsificados, en el protocolo de envío del correo electrónico aparecerá la dirección real que se ha empleado. Muchos programas modernos de correo electrónico, como Outlook, han sustituido la fuente el correo electrónico por un nombre de muestra, no obstante (con mayor o menor complicación) se puede consultar el encabezado de un correo electrónico. Si allí detectas que la fuente no coincide con los datos del supuesto remitente, es muy probable que se trate de un fraude.

Otra medida de seguridad para el intercambio de correos electrónicos consiste en evitar HTML y no permitir que las imágenes se recarguen de forma automática. De esta forma evitarás que los programas maliciosos accedan al ordenador al abrir el mensaje.

Por norma general, nunca debes abrir anexos de remitentes desconocidos. Antes de nada, debes comprobar la identidad del remitente. Aunque el remitente parezca fiable, haces bien en desconfiar si antes no te habías comunicado previamente con él e, incluso si parece conocido, no debes abrir documentos anexos que no esperas de este remitente. El ordenador del remitente conocido podría haber sido infectado ya por un programa malicioso. En caso de duda, pregunta directamente al remitente.

También debes tener mucho cuidado con las direcciones de Internet que se esconden tras un enlace. Se pueden ver antes de hacer clic en el hipervínculo. Mediante direcciones URL simuladas los atacantes intentan que su dominio parezca una dirección legítima. Pero si prestas un poco de atención, puedes detectar esta trampa rápidamente. Debes devolver a su estado original las direcciones que han sido acortadas, y, por lo tanto, ocultadas o directamente ignorarlas.