Los ciberdelincuentes utilizan técnicas de ingeniería social cada vez más sofisticadas para poder engañar a los usuarios y buscar infectar sus sistemas.
Cuando del apartado del phishing y la ingeniería social se trata existe un mundo absolutamente extenso donde los atacantes buscan de cualquier manera convencer a sus futuras víctimas de realizar una cierta acción. Desde técnicas de suplantación de identidad, extensión, entre otras modalidades, la concientización de los usuarios es clave para hacerle frente de manera clara a estos ciberataques que buscan robar información sensible.
Sin embargo, a medida que la educación en ciberseguridad evoluciona, también lo hacen las técnicas de ataque. En ese contexto, surge la idea del spear phishing.
Esta forma sofisticada y peligrosa del phishing, a diferencia de la modalidad tradicional, es altamente personalizado y tiene como objetivo a individuos o empresas específicas. Ahí es cuando observamos la principal distinción con el phishing normal, que se basa más bien en el envío de mensajes masivos y campañas de spam para engañar a un gran número de personas. Por tal motivo, la posibilidad de que una persona caiga en el plan del atacante suele reducirse notablemente en comparación con el spear phishing.
¿Cómo funciona el spear phishing?
Para un ciberdelincuente generar una campaña de phishing tradicional no le suele tomar demasiado tiempo. Puede realizarse un mensaje general suplantando la identidad de una reconocida empresa y concretar una masiva campaña de spam, donde el correo sea recibido por múltiples usuarios para aumentar las posibilidades que caigan en la trampa.
Sin embargo, en el spear phishing, los atacantes realizan una investigación detallada sobre sus objetivos antes de llevar a cabo el ataque. Utilizan información personal, profesional o incluso datos de redes sociales para crear mensajes que parecen auténticos y están totalmente dirigidos a una empresa particular.
Para recopilar toda esta información se pueden utilizar técnicas de OSINT. Este procedimiento se basa en recolectar todos los datos públicos posibles de fuentes públicas de Internet que están a disposición. De este modo, el ataque tiene muchas más posibilidades de concretarse ya que la empresa observará el contenido del correo y no pensará en primera instancia que se trata de un spam.
Por ejemplo, supongamos que una organización publica, en la red social de LinkedIn, una oferta de trabajo y están abiertos a recibir solicitudes a través de su casilla de correo electrónico. Entre tantas solicitudes que recibe la compañía se encontrará con un spear phishing, donde un atacante se hará pasar por un candidato, pero camuflará un software malicioso dentro de un adjunto, que podría ser perfectamente un curriculum vitae. En consecuencia, la empresa, sin pensar que se trata de un ciberataque, lo abrirá y quedará infectada. Todo esto pudo ser concretado gracias a la información pública disponible en Internet que fue recopilada por el ciberdelincuente, que realizó el phishing personalizado, en lugar de aplicar una campaña masiva donde la tasa de usuarios que se puedan convertir en víctima reales sea más baja.
¿Cómo protegerse del spear phishing?
La prevención es clave para evitar caer en este tipo de ataques. Aquí te dejamos algunos consejos prácticos:
- Sé escéptico con los mensajes inesperados: Es importante verificar el contenido del mensaje y observar de qué manera se comunica el emisor, además de la autenticidad antes de responder o interactuar con el correo.
- No acceder a los enlaces sospechosos: Si se recibe una URL o un adjunto podemos abrirlo dentro de un entorno controlado o analizarlo antes de ejecutarlo en nuestra máquina principal. De esta manera, confirmaremos si el correo que recibimos tiene fines malintencionados.
- Confirma con el remitente por otros medios. Si la empresa que se contacta es realmente conocida, es mejor comunicarse directamente con dicha institución para confirmar su autenticidad.
- Contar con un software antimalware y mantenerlo actualizado: Muchos sistemas de prevención permiten bloquear una descarga de un archivo malicioso si el usuario es desprevenido y accede a hacerlo.
- Capacitar al equipo de trabajo: Si trabajas en una empresa, es esencial educar a los empleados sobre los riesgos del spear phishing y cómo identificarlo.
Según informó la consultora McKinsey & Company, el número de ataques de spear phishing aumentó casi siete veces después del inicio de la pandemia. Por tal motivo, concientizarse y concientizar a otras personas sobre estos peligros es vital para reducir esta estadística.
El spear phishing es una amenaza que no debe subestimarse. Su capacidad para explotar la confianza y la personalización lo convierte en un arma peligrosa en el arsenal de los ciberdelincuentes. Al entender cómo funciona y aplicar medidas preventivas, puedes protegerte y proteger a tu entorno de este tipo de ataques.