¿Qué es el ‘spear phishing’ y cómo prevenirlo?

Sin duda, los ciberataques de ingeniería social se han convertido en uno de los modus operandi más empleados por la ciberdelincuencia. Y lejos de parecer obsoletos, los expertos consideran que se incrementarán en 2023. Entre este tipo de ciberamenaza se encuentra el spear phishing. Pero, ¿en qué consiste? Y no menos importante: ¿cómo se puede prevenir?

Te puede interesar: ‘Callback phishing’: ¿qué es y cómo prevenirlo?

Diferencias entre ‘phishing’ y ‘spear phishing’

Para esto último, lo primero que se debe saber es qué diferencias hay entre el phishing convencional y la variante spear phishing:

• Phishing. Esta técnica consiste en el envío de un email a un usuario simulando ser una entidad legítima (un banco, una institución pública, una red social, etc.). El objetivo es hacerse con su dinero, infectar su dispositivo, robarle información confidencial… Y, para ello, los ciberdelincuentes adjuntan archivos infectados o enlaces a páginas fraudulentas.
• Spear phishing. También conocida como phishing selectivo o phishing de lanza, esta modalidad, en lugar de basarse en un envío masivo de correos electrónicos, se centra en la selección de los receptores.

En definitiva, este tipo de ataque cibernético se dirige a personas, empresas, organizaciones u organismos públicos previamente seleccionados con el fin de obtener datos relevantes o cantidades económicas, así como de instalar malware en sus equipos.

En cuanto a cómo recopilan la información de los usuarios, los ciberdelincuentes suelen basarse, sobre todo, en fuentes de acceso público.

¿Cómo actúan los ciberdelincuentes?

En definitiva, en los ataques de spear phishing se emplean emails personalizados de cara a producir un mayor efecto en los destinatarios. Y estas acciones se llevan a cabo mediante diferentes fases:

1. En la primera, como ya se ha comentado, los phishers analizan a sus víctimas: una persona, una empresa, una organización, una entidad pública, etc.
2. Seguidamente, obtienen toda la información posible sobre los individuos que recibirán los correos electrónicos. Para dicho fin consultarán blogs, foros, listas de email, redes sociales…
3. A continuación, en base a la información obtenida, los ciberdelincuentes crean correos electrónicos falsos y los envían a sus objetivos.
4. Al creer que los emails son legítimos, las personas que los reciben acaban clicando en enlaces que redirigen a los usuarios a sitios falsos o descargando archivos adjuntos que infectan los equipos con malware.

Sin duda, esta técnica requiere un esfuerzo mayor por parte de la ciberdelincuencia. Pero su índice de éxito también es más elevado, ya que se hacen pasar por personas o entidades de confianza, lo cual les permite articular el fraude o el engaño con mayor facilidad.

Te puede interesar: ‘Phishing’ y errores humanos en los ‘emails’ causan despidos en EEUU

Uno de los ataques de spear phishing más habituales es aquel en el que los atacantes se hacen pasar por el CEO o un cargo de responsabilidad de una empresa. Partiendo de un correo electrónico que simula ser corporativo, se intenta que los empleados lleven a cabo alguna acción beneficiosa para los ciberdelincuentes.

Y como ya ha advertido Segurilatam, el phishing selectivo basado en la guerra de Ucrania se ha usado contra organizaciones financieras de América Latina. En este caso, con el objetivo de distribuir malware.

Consejos para prevenir el ‘spear phishing’

Con frecuencia se advierte que el ser humano es el eslabón más débil de la cadena de seguridad. Los ciberdelincuentes son conscientes de ello. De ahí que se sirvan de la ingeniería social y la suplantación de identidad para conseguir sus propósitos.

Con el fin de evitarlo y prevenir el spear phishing, los expertos en seguridad cibernética recomiendan poner en práctica las siguientes recomendaciones:

• Prestar atención al remitente. Como ya hemos explicado en el post ¿Cómo sé si un correo electrónico es sospechoso?, hay que fijarse en quién nos envía un email. Un ejercicio de rutina como comprobar el asunto, y si el nombre y la dirección de correo están bien escritos, puede contribuir a detectar una suplantación de identidad.
• Comprobar si el correo contiene erratas o faltas de ortografía. Puede que quienes nos ataquen no sean de nuestro país ni hablen nuestro idioma. ¿El cuerpo del correo electrónico está mal escrito? ¿Detectamos alguna errata o faltas de ortografía? Si es así, debemos desconfiar.
• Recelar de las solicitudes urgentes. Uno de los objetivos de los ciberdelincuentes es que el remitente de los correos electrónicos clique en un enlace o descargue un archivo cuanto antes. Ante estas peticiones, conviene ser muy precavidos.
• Examinar los enlaces, las URL y los sitios web. Ya que nos hemos referido a los links, cuando se pasa el cursor del ratón suele abrirse una ventana con el enlace de la página a la que dirige. Por lo general, esto es algo que puede comprobarse en las computadoras. Si no podemos hacerlo y llegamos a clicar en el link, hay que prestar mucha atención a la URL –¿Tiene protocolo https? ¿El dominio está bien escrito o presenta parámetros extraños?–. Por último, es aconsejable observar detenidamente el sitio web. ¿Parece legítimo o no lo es? Recursos como URLVoid ayudan a detectar sitios web potencialmente maliciosos.
• Mantener los equipos actualizados y seguros. Una de las máximas que ayuda a evitar incidentes de seguridad cibernética es actualizar el sistema operativo de los equipos e instalar un software antivirus. En lo referente a este último, es primordial elegir una herramienta que identifique direcciones IP maliciosas o correos electrónicos diferentes a los que envía un remitente de manera habitual.
• Ser precavidos a la hora de publicar información en Internet. Como se ha explicado, los ciberdelincuentes se sirven de fuentes públicas para seleccionar a sus víctimas. Así pues, bajo ningún concepto se debe difundir información en la Red que pueda ser del interés de los atacantes. Sobre todo, datos corporativos importantes o confidenciales. Al respecto, adoptar un perfil bajo y proyectar una imagen discreta es una buena medida de prevención.

Para finalizar, conviene recordar que el sentido común es una de las mejores armas para combatir la ciberdelincuencia. Las prisas son malas consejeras. En consecuencia, mantener la cabeza fría y observar cuidadosamente todos los correos electrónicos que recibamos nos será de gran ayuda para prevenir el spear phishing.