¿Qué es el spear phishing?

Mientras que algunas estafas de phishing se envían a millones de personas con la esperanza de que alguien pique, un ataque de spear phishing se centra en un único objetivo y puede ser muy convincente.

Resumen del artículo:

  • El phishing de objetivo definido es un ataque selectivo por correo electrónico que utiliza información personalizada para intentar engañar a personas u organizaciones específicas a fin de que revelen datos confidenciales o instalen software malicioso en sus sistemas.
  • A diferencia de las campañas generales, el phishing de objetivo definido emplea tácticas de ingeniería social y el reconocimiento para elaborar mensajes muy convincentes. Por este motivo, los filtros de seguridad tradicionales tienen dificultades para detectar este tipo de amenazas sofisticadas.
  • Las organizaciones pueden prevenir el phishing de objetivo definido mediante la implementación de la autenticación multifactor (MFA), el uso de soluciones avanzadas de seguridad del correo electrónico y la capacitación continua de los empleados para que reconozcan las tácticas de ingeniería social en constante cambio.

¿Qué es el spear phishing?

Mientras que phishing es un término amplio para los ataques que pretenden engañar a la víctima para que comparta información confidencial, el spear phishing es un ataque de phishing que tiene un único objetivo, que puede ser un individuo, una organización o una empresa.

Los ataques de spear phishing son especialmente eficaces porque el atacante puede utilizar información sobre la víctima, a menudo información pública encontrada en Internet, para que el ardid sea convincente.

Phishing de objetivo definido vs. 'phishing masivo'

Los objetivos de la mayoría de los ataques de phishing no son específicos. Por lo general, los mensajes de phishing se envían en masa a tantas personas como sea posible, y los atacantes esperan que un pequeño porcentaje caiga en la trampa. Esta es la manera más económica y veloz de llevar a cabo ataques de phishing. Los atacantes pueden incorporar cierto grado de automatización y personalización, especialmente utilizando la IA, pero la personalización adicional para un solo usuario u organización no forma parte de una campaña típica de phishing masivo.

La investigación y personalización que implica el phishing de objetivo definido requiere más esfuerzo (y a menudo más dinero) que un ataque de phishing común. Por esta razón, los ataques de phishing de objetivo definido son menos frecuentes en comparación. Sin embargo, tienen una tasa de éxito muy alta. Y cuando tienen éxito, causan mucho más daño a sus objetivos.

¿Qué tácticas de ingeniería social se emplean en el phishing de objetivo definido?

Los atacantes que emplean esta técnica usan tácticas comunes a muchos tipos de ataques de ingeniería social para manipular a sus víctimas. Entre ellas se incluyen:

  • Establecer un límite de tiempo para que la víctima sienta que debe actuar rápidamente sin tomarse el tiempo para pensar bien la solicitud
  • Usar recursos emocionales, como incluir información sobre las consecuencias negativas si el destinatario no cumple con la solicitud falsa
  • Crear una historia convincente, también conocida como "pretexting"
  • Incluir detalles directamente relevantes: dirigirse al destinatario por su nombre, enviar el correo electrónico desde alguien en el lugar de trabajo del destinatario, incluir detalles reales sobre la vida del destinatario, entre otros.

¿Qué otras tácticas utilizan los ataques de phishing de objetivo definido?

Más allá de la personalización, hay varios pasos que los atacantes suelen seguir para que sus ataques de phishing de objetivo definido sean más efectivos.

¿Cómo son los ataques de spear phishing?

Una táctica habitual del spear phishing es que el atacante se haga pasar por alguien con una posición de autoridad, porque la gente es mucho más propensa a responder a una figura de autoridad.

A continuación, un ejemplo:

Joe es el asistente ejecutivo de una Directora general llamada Mary. Un día, cuando Mary está de vacaciones en el extranjero, ella le envía un correo electrónico urgente a Joe. En el correo electrónico se indica que le han robado el equipaje y el teléfono. Ella le dice que no tiene dinero ni pasaporte, y que necesita que le envíe sus credenciales de PayPal lo antes posible para poder reservar un hotel y comprar un vuelo a casa. Joe podría ver este angustioso mensaje de su empleador y enviar inmediatamente la información solicitada.

Este tipo de solicitud de "Estoy en apuros y necesito dinero" de un superior es un guion habitual en el spear phishing. El atacante podría estar suplantando el correo electrónico de Mary, así como enviando el correo electrónico a decenas de combinaciones diferentes del nombre y las iniciales de Joe con la esperanza de encontrar el correcto. El atacante también podría haberse enterado de los planes de vacaciones de Mary al seguirla en Twitter. Combinando todas estas herramientas, el atacante puede idear una estafa muy convincente.

De este tipo de ataque se produjo en 2016 un ejemplo notable, cuando un atacante se hizo pasar por el Director general de Snapchat y pudo convencer a un empleado de que entregara información confidencial sobre las nóminas.

Los ataques de spear phishing también pueden aprovechar la información de las fugas de datos. Otro ejemplo:

Steve compra un ordenador en un importante minorista en línea, pero unas semanas después el minorista sufre una fuga de datos. Aunque los datos confidenciales, como los números de las tarjetas de crédito y las contraseñas, estaban protegidos con un hash, se filtraron las direcciones de correo electrónico de los clientes y los historiales de los pedidos.

Unos días más tarde, Steve recibe un correo electrónico del fabricante de su nuevo ordenador en el que se le anuncia que su modelo está siendo retirado del mercado, y se le proporciona un enlace donde podrá reclamar el reembolso. El enlace lleva a Steve a una versión falsa del sitio web del fabricante y le proporciona un formulario para que pueda introducir su número de tarjeta de crédito para recibir el reembolso. El atacante utilizó algunos datos inofensivos para ganarse la confianza de Steve y engañarlo para que enviara sus datos financieros.

¿En qué se diferencian el spear phishing y el whaling?

Whale phishing o whaling es un ataque de phishing de objetivo definido contra una víctima de perfil muy alto, normalmente un alto ejecutivo de una empresa o un famoso. Los ataques de whaling suelen ser más sofisticados. En muchos casos, los atacantes lanzan primero ataques de phishing de objetivo definido contra potenciales víctimas menos relevantes, como empleados de una gran empresa ("whale" en inglés), a fin de poder acceder a su víctima final.

Por ejemplo:

Mientras está de vacaciones, Mary, la Directora general, recibe un correo electrónico o una llamada de alguien que conoce de su equipo de TI en la que se le informa de que están sufriendo un ciberataque, y se le solicita acceso a su ordenador de la oficina y a sus cuentas para garantizar la seguridad de los datos de la empresa. Es posible que un atacante haya puesto en riesgo a su equipo de TI para ganarse la confianza de Mary, con la esperanza de convencerla de que entregue sus credenciales.

Cómo protegerse contra el spear phishing y el whaling

Ya que el spear phishing implica ingeniería social, no existe una forma infalible de protegerse contra este tipo de ataques. Sin embargo, se pueden tomar una serie de precauciones para prevenir y mitigar los intentos de spear phishing. Entre estas se incluyen:

  • Nunca compartas datos financieros, contraseñas o cualquier otro dato confidencial por teléfono, chat o correo electrónico.
  • No hagas clic en los enlaces de correos electrónicos, aunque parezca que proceden de una fuente de confianza. Copiar y pegar o escribir a mano la URL puede ayudar a protegerte de los ataques de cross-site scripting.
  • Activa la autenticación de 2 factores en todas las cuentas importantes, para que no sea suficiente con las credenciales de acceso robadas.
  • Habilita las políticas de seguridad Zero Trust para garantizar que un intruso no tenga acceso abierto a una red.