¿Qué significa spear phishing?
El spear phishing es un tipo de ciberataque de ingeniería social dirigido a una persona concreta o a un pequeño grupo de personas. El objetivo de este tipo de explotación maliciosa es engañar a la víctima para que lleve a cabo una acción deseada en nombre del atacante.
Antes de ponerse en contacto con la víctima, el spear phisher invierte tiempo en recopilar información sobre su víctima en sitios web de empresas y bases de datos públicas, así como en LinkedIn y otras plataformas de redes sociales.
La investigación se utiliza para proporcionar detalles que ayudarán al atacante a hacerse pasar por una persona u organización de confianza con la que el objetivo está familiarizado. Se ha demostrado que esta estrategia aumenta significativamente la probabilidad de que el destinatario realice la acción deseada.
Spear phishing frente al phishing
El phishing, que es uno de los vectores de ataque más populares entre los ciberdelincuentes, es menos personalizado que el spear phishing.
En lugar de lanzar una amplia red y enviar mensajes de phishing en masa, un phisher con arpón se hace pasar por una persona o entidad específica que el objetivo conoce y en la que confía, y utiliza los nombres de sus colegas, supervisores o socios comerciales para que sus mensajes parezcan legítimos. El nivel de personalización puede ser profundo y hacer referencia a acontecimientos recientes, experiencias compartidas, jerga de la empresa o proyectos internos para que el ataque resulte más convincente.
El esfuerzo adicional que el atacante dedica a personalizar su correspondencia hace que los mensajes fraudulentos de spear phishing sean difíciles de identificar. También es la razón principal por la que este tipo de ataque tiene estadísticamente tres veces más probabilidades de éxito que los ataques de phishing ordinarios.
Phishing | Spear phishing |
El mensaje del atacante parece proceder de alguien de una empresa u organización conocida. | El mensaje del atacante parece proceder de una persona o entidad concreta que el objetivo conoce y en la que confía. |
El contenido de un mensaje de phishing es genérico y podría aplicarse a muchas personas. | El contenido de un correo electrónico de phishing selectivo se adapta específicamente al destinatario. |
El atacante envía mensajes en masa con la esperanza de conseguir que al menos un destinatario realice la acción deseada. | El atacante envía mensajes a un individuo que tiene el poder de realizar la acción deseada. |
Tipos de ataques de spear phishing
Existen muchos tipos diferentes de ataques de spear phishing. Algunos de los vectores de ataque más comunes incluyen:
Compromiso de correo electrónico comercial (BEC): Este tipo de ataque consiste en enviar a la víctima potencial un correo electrónico muy personalizado que parece proceder de un socio comercial o proveedor legítimo.
Ataque Watering Hole: Este tipo de ataque consiste en infectar un sitio web que la víctima visita con frecuencia y, a continuación, enviar un mensaje que le indique que visite el sitio web por alguna razón que parezca legítima.
Smishing: este tipo de ataque utiliza mensajes de texto (SMS) para ponerse en contacto con la víctima a través de un dispositivo móvil.
Vishing: Este tipo de ataque utiliza mensajes de voz para contactar con la víctima. La persona que llama puede utilizar la clonación de voz mediante inteligencia artificial (IA) para hacerse pasar por alguien que la víctima conoce y engañarla para que facilite información confidencial por teléfono.
Fraude al CEO: En este tipo de ataque, el ciberdelincuente se hará pasar por un ejecutivo de alto rango dentro de una organización con el fin de conseguir que la víctima realice una acción que podría negarse a hacer por alguien más bajo en el tótem de la organización.
Whaling: En este tipo de spear phishing, el atacante va a por los “peces gordos” de una organización. Estas personas suelen tener privilegios de alto nivel y acceso a datos confidenciales y críticos.
Ataques de spear phishing con éxito
Ejemplos famosos de ataques de spear phishing exitosos incluyen:
- Yahoo Hack: En 2013, los ciberdelincuentes lanzaron un ataque de spear phishing contra un empleado de Yahoo que resultó en el robo de información personal de más de 3 mil millones de usuarios.
- Filtración de datos de Target: En 2013, los hackers lanzaron un exitoso ataque de spear phishing contra Target, un importante minorista estadounidense, engañando a un empleado de un proveedor externo para que hiciera clic en un correo electrónico malicioso.
- La filtración de datos de Home Depot: En 2014, los ciberdelincuentes utilizaron tácticas de spear phishing para comprometer las credenciales de los proveedores y penetrar en los sistemas informáticos internos del minorista. Una vez dentro de la red, los atacantes instalaron malware personalizado que recopiló información personal y financiera de 7.500 cajas registradoras de The Home Depot.
- Hackeo de Sony Pictures: En 2014, ciberdelincuentes nacionales lanzaron un ataque de phishing dirigido a ejecutivos de Sony Pictures Entertainment. Los atacantes lograron robar claves de servidores y más de 100 terabytes de datos.
- Vulneración de datos de Anthem: En 2015, los ciberdelincuentes lanzaron un ataque de spear phishing contra un pequeño grupo de empleados que trabajaban para una filial de Anthem, una compañía de seguros de salud de Estados Unidos. Los atacantes lograron robar información personal de más de 78 millones de personas.
Cómo evitar que un ataque de spear phishing tenga éxito
En mayo de 2023, un proveedor de seguridad basado en la nube llamado Barracuda compartió los resultados de su encuesta sobre spear phishing. De las 1.350 organizaciones encuestadas, la mitad había experimentado un ataque de spear-phishing en 2022, y el 39% informó haber experimentado pérdidas monetarias directas como resultado de este tipo de ataque.
Para evitar que los ataques de spear phishing tengan éxito, todo el mundo debe seguir las mejores prácticas de ciberseguridad y extremar las precauciones a la hora de hacer clic en enlaces de correos electrónicos no solicitados.
Es importante verificar la identidad del remitente antes de responder a solicitudes urgentes de transferencias de fondos o peticiones inusuales de información personal o financiera confidencial. Las organizaciones legítimas suelen disponer de canales seguros para este tipo de solicitudes y no dependen únicamente de correos electrónicos, mensajes de texto o llamadas telefónicas no solicitados.
La prevención del spear phishing requiere defensas tecnológicas, un comportamiento vigilante por parte del usuario final y una formación periódica sobre las últimas amenazas. He aquí algunos consejos adicionales para prevenir el éxito de los ataques de phishing contra personas concretas o pequeños grupos de personas:
- Compruebe la ortografía del dominio. Muchos intentos de spear phishing proceden de nombres de dominio que tienen una letra menos que un sitio de confianza.
- Pase el ratón por encima de los enlaces antes de hacer clic para comprobar si la URL procede realmente de un dominio legítimo.
- Asegúrese siempre de que las URL de los sitios web (especialmente los que requieren que el usuario facilite contraseñas u otros datos confidenciales) empiezan por HTTPS y no sólo por HTTP. La “s” significa seguro.
- Evite introducir datos personales en módulos emergentes de páginas web. Las empresas legítimas no suelen pedir información sensible de esta forma.
- No se fíe de las comunicaciones no solicitadas. Desconfíe de llamadas telefónicas, correos electrónicos o mensajes de texto inesperados que requieran una respuesta urgente. En caso de duda, póngase en contacto directamente con una empresa o persona para confirmar que una solicitud de acción es legítima.
- Implemente mecanismos de seguridad para restringir la ejecución de whoami y otros programas de utilidad de línea de comandos en función de los roles de los usuarios.
- Manténgase al día sobre las últimas estrategias y técnicas de phishing.