Spear phishing

¿Qué  significa spear phishing?

El spear phishing es un tipo de ciberataque de ingeniería social dirigido a una persona concreta o a un pequeño grupo de personas. El objetivo de este tipo de explotación maliciosa es engañar a la víctima para que lleve a cabo una acción deseada en nombre del atacante.

Antes de ponerse en contacto con la víctima, el spear phisher invierte tiempo en recopilar información sobre su víctima en sitios web de empresas y bases de datos públicas, así como en LinkedIn y otras plataformas de redes sociales.

La investigación se utiliza para proporcionar detalles que ayudarán al atacante a hacerse pasar por una persona u organización de confianza con la que el objetivo está familiarizado. Se ha demostrado que esta estrategia aumenta significativamente la probabilidad de que el destinatario realice la acción deseada.

Spear phishing frente al phishing

El phishing, que es uno de los vectores de ataque más populares entre los ciberdelincuentes, es menos personalizado que el spear phishing.

En lugar de lanzar una amplia red y enviar mensajes de phishing en masa, un phisher con arpón se hace pasar por una persona o entidad específica que el objetivo conoce y en la que confía, y utiliza los nombres de sus colegas, supervisores o socios comerciales para que sus mensajes parezcan legítimos. El nivel de personalización puede ser profundo y hacer referencia a acontecimientos recientes, experiencias compartidas, jerga de la empresa o proyectos internos para que el ataque resulte más convincente.

El esfuerzo adicional que el atacante dedica a personalizar su correspondencia hace que los mensajes fraudulentos de spear phishing sean difíciles de identificar. También es la razón principal por la que este tipo de ataque tiene estadísticamente tres veces más probabilidades de éxito que los ataques de phishing ordinarios.

Phishing Spear phishing
El mensaje del atacante parece proceder de alguien de una empresa u organización conocida. El mensaje del atacante parece proceder de una persona o entidad concreta que el objetivo conoce y en la que confía.
El contenido de un mensaje de phishing es genérico y podría aplicarse a muchas personas. El contenido de un correo electrónico de phishing selectivo se adapta específicamente al destinatario.
El atacante envía mensajes en masa con la esperanza de conseguir que al menos un destinatario realice la acción deseada. El atacante envía mensajes a un individuo que tiene el poder de realizar la acción deseada.

Tipos de ataques de spear phishing

Existen muchos tipos diferentes de ataques de spear phishing. Algunos de los vectores de ataque más comunes incluyen:

Compromiso de correo electrónico comercial (BEC): Este tipo de ataque consiste en enviar a la víctima potencial un correo electrónico muy personalizado que parece proceder de un socio comercial o proveedor legítimo.

Ataque Watering Hole: Este tipo de ataque consiste en infectar un sitio web que la víctima visita con frecuencia y, a continuación, enviar un mensaje que le indique que visite el sitio web por alguna razón que parezca legítima.

Smishing: este tipo de ataque utiliza mensajes de texto (SMS) para ponerse en contacto con la víctima a través de un dispositivo móvil.

Vishing: Este tipo de ataque utiliza mensajes de voz para contactar con la víctima. La persona que llama puede utilizar la clonación de voz mediante inteligencia artificial (IA) para hacerse pasar por alguien que la víctima conoce y engañarla para que facilite información confidencial por teléfono.

Fraude al CEO: En este tipo de ataque, el ciberdelincuente se hará pasar por un ejecutivo de alto rango dentro de una organización con el fin de conseguir que la víctima realice una acción que podría negarse a hacer por alguien más bajo en el tótem de la organización.

Whaling: En este tipo de spear phishing, el atacante va a por los “peces gordos” de una organización. Estas personas suelen tener privilegios de alto nivel y acceso a datos confidenciales y críticos.

Ataques de spear phishing con éxito

Ejemplos famosos de ataques de spear phishing exitosos incluyen:

Cómo evitar que un ataque de spear phishing tenga éxito

En mayo de 2023, un proveedor de seguridad basado en la nube llamado Barracuda compartió los resultados de su encuesta sobre spear phishing. De las 1.350 organizaciones encuestadas, la mitad había experimentado un ataque de spear-phishing en 2022, y el 39% informó haber experimentado pérdidas monetarias directas como resultado de este tipo de ataque.

Para evitar que los ataques de spear phishing tengan éxito, todo el mundo debe seguir las mejores prácticas de ciberseguridad y extremar las precauciones a la hora de hacer clic en enlaces de correos electrónicos no solicitados.

Es importante verificar la identidad del remitente antes de responder a solicitudes urgentes de transferencias de fondos o peticiones inusuales de información personal o financiera confidencial. Las organizaciones legítimas suelen disponer de canales seguros para este tipo de solicitudes y no dependen únicamente de correos electrónicos, mensajes de texto o llamadas telefónicas no solicitados.

La prevención del spear phishing requiere defensas tecnológicas, un comportamiento vigilante por parte del usuario final y una formación periódica sobre las últimas amenazas. He aquí algunos consejos adicionales para prevenir el éxito de los ataques de phishing contra personas concretas o pequeños grupos de personas:

  • Compruebe la ortografía del dominio. Muchos intentos de spear phishing proceden de nombres de dominio que tienen una letra menos que un sitio de confianza.
  • Pase el ratón por encima de los enlaces antes de hacer clic para comprobar si la URL procede realmente de un dominio legítimo.
  • Asegúrese siempre de que las URL de los sitios web (especialmente los que requieren que el usuario facilite contraseñas u otros datos confidenciales) empiezan por HTTPS y no sólo por HTTP. La “s” significa seguro.
  • Evite introducir datos personales en módulos emergentes de páginas web. Las empresas legítimas no suelen pedir información sensible de esta forma.
  • No se fíe de las comunicaciones no solicitadas. Desconfíe de llamadas telefónicas, correos electrónicos o mensajes de texto inesperados que requieran una respuesta urgente. En caso de duda, póngase en contacto directamente con una empresa o persona para confirmar que una solicitud de acción es legítima.
  • Implemente mecanismos de seguridad para restringir la ejecución de whoami y otros programas de utilidad de línea de comandos en función de los roles de los usuarios.
  • Manténgase al día sobre las últimas estrategias y técnicas de phishing.

Temas relacionados

Margaret Rouse

Margaret Rouse es una galardonada escritora técnica y profesora conocida por su habilidad para explicar temas técnicos complejos a una audiencia de negocios no técnica. Durante los últimos veinte años, sus explicaciones han aparecido en sitios web de TechTarget y ha sido citada como autoridad en artículos del New York Times, Time Magazine, USA Today, ZDNet, PC Magazine y Discovery Magazine. La idea de diversión de Margaret es ayudar a profesionales de TI y negocios a aprender a hablar los idiomas altamente especializados de cada uno. Si tienes una sugerencia para una nueva definición o cómo mejorar una explicación técnica,…