Spear phishing: un fraude hecho a medida que busca quedarse con tus datos

Un día recibes un correo electrónico o un mensaje con información tan real que te identificas enseguida con él. Puede llamarte por tu nombre, mencionar tu domicilio o el puesto que ocupas en tu empresa. Puede incluso imitar el estilo habitual de una entidad con la que tengas relación.

Sí, ese mensaje parece real, pero no es más que el enésimo intento de estafarte. Así funciona el spear phishing.

En este artículo, te explico:

• Qué significa spear phishing
• Cómo funciona el spear phishing
• Spear phishing vs. phishing
• Cómo evitar un ataque de spear phishing
• Qué hacer ante un ataque de spear phishing

La expresión «spear phishing», suma de las palabras ‘lanza’ y ‘pescar’ en inglés, se refiere a un intento de estafa dirigido a un objetivo concreto, es decir, a una persona en particular.

Para realizar los ataques, los delincuentes utilizan herramientas de ingeniería social para estudiar a sus víctimas. De esta manera obtienen información sobre ellas para confeccionar mensajes que parecen legítimos y, por tanto, aumentar su efectividad.

Así es más sencillo que la persona que recibe el correo haga lo que pretenden los delincuentes, desde revelar información a instalar algún tipo de malware.

Esto les permitirá robar datos personales o empresariales sensibles, materializar estafas económicas o espiar.

Para llevar a cabo un ataque de spear phishing, los delincuentes suelen seguir una serie de pasos, según explica el Incibe:

1. Definir y seleccionar objetivos: los delincuentes estudian primero qué víctimas les interesa atacar. Suelen centrarse en personas que pueden revelar información confidencial o credenciales valiosas.
2. Investigar a la víctima: filtraciones de datos, redes sociales y otras publicaciones en internet proporcionan a los delincuentes la información que necesitan para engañar a la víctima.
3. Crear y enviar un mensaje personalizado: a partir de la información recopilada, los atacantes elaboran y envían un mensaje que se ajusta al perfil de su víctima para captar su atención y hacerle creer que es legítimo. Normalmente piden datos de forma urgente o animan a acceder a un sitio web fraudulento para recopilar información o descargar malware.

Estamos hablando de un tipo de ciberataque muy personalizado. El spear phishing se diferencia del phishing convencional en que se enfoca a individuos concretos, en lugar de realizar el mismo mensaje de forma masiva.

El spear phishing se suele utilizar para engañar a objetivos de alto valor, es decir, empleados con acceso a información confidencial de una empresa. Suelen ser directivos, personal de recursos humanos o administradores de sistemas que manejan claves de seguridad valiosas. Un ejemplo de spear phishing es el fraude del CEO, mediante el que los delincuentes se hacen pasar por el jefe de la víctima para desviar fondos.

Sin embargo, no todos los ataques de spear phishing se dirigen a estos perfiles. Basta con que el delincuente considere que una persona es especialmente vulnerable a caer en una estafa para que la convierta en objetivo de un ataque de spear phishing.

Además, las herramientas de inteligencia artificial facilitan tanto el rastreo de información personal como el diseño inmediato de correos electrónicos totalmente personalizados.

Todo esto reduce esfuerzos para los delincuentes. De hecho, ya se han observado ataques masivos de phishing que integran técnicas de spear phishing para ser más creíbles, tal y como advierte Kaspersky.

El problema con el spear phishing es que no basta con tener actualizados los antivirus o los cortafuegos. Al utilizar ingeniería social para engañar a sus víctimas, el mayor punto débil a la hora de sufrir uno de estos ataques son los propios destinatarios de los mensajes.

Esta es la razón por la que las empresas y organizaciones deben informar y concienciar a sus empleados para que puedan detectar más fácilmente este tipo de engaños y no caer en ellos.

Los ciudadanos también deben ser conscientes de este riesgo y extremar las precauciones, siguiendo estos consejos:

Si una petición despierta alguna duda, no se debe acceder a ella. Es importante contactar mediante una vía alternativa con la persona o la entidad que envía el mensaje para contrastar la información. Por ejemplo, si nos han enviado un correo electrónico, conviene llamar por teléfono a un número que hayamos obtenido de otra fuente.

Es importante revisar la configuración de privacidad de las redes sociales y compartir solo la información imprescindible.

Antes de responder a un correo o un mensaje que nos solicite algo inesperado es importante verificar su autenticidad. Recuerda: no facilites nunca tus datos personales o bancarios ni información confidencial.

Utilizar el doble factor de autenticación para acceder a una cuenta es especialmente útil para protegerla.

¿Qué pasa si ya hemos facilitado información en un ataque de spear phishing? Hay que actuar cuanto antes para minimizar sus consecuencias.

El Incibe recomienda cambiar contraseñas y avisar a las entidades que puedan verse involucradas para que puedan tomar medidas de inmediato.

Si eres trabajador de una empresa y has sido víctima de este fraude con información relacionada con tu entorno laboral, contacta rápidamente con el departamento técnico.

Toca revisar la información que se haya podido filtrar, desde el nombre o la dirección a cualquier tipo de credencial. También hay que chequear las cuentas, desde posibles movimientos extraños en las bancarias a cualquier otro servicio que se haya podido ver afectado (opciones para recuperar una cuenta, de privacidad, datos personales…).

Es importante denunciar a las autoridades el incidente si ha habido una filtración de información confidencial o de datos que permitan el acceso a cuentas del usuario.

También conviene buscar ayuda profesional si esa información es crítica, con el fin de evaluar el alcance del ataque y evitar males mayores. Por supuesto, es imprescindible tomar medidas para que no vuelva a ocurrir.