Saltar al contenido principal

¿Qué es el spear phishing? Definición y riesgos

Un hombre recibe un correo electrónico de spear phishing en su computadora portátil.

Los ataques de suplantación de identidad (phishing) son una amenaza persistente en un mundo altamente digitalizado, una preocupación constante tanto para las personas como para las organizaciones. Los ataques de spear phishing son un subconjunto muy preocupante de estos tipos de ciberdelitos. ¿Pero qué es exactamente el spear phishing? ¿Pueden prevenirse estos ataques?

Spear phishing: Definición

Aunque el término phishing es un término general qué hace referencia a los ciberataques que se realizan mediante correo electrónico, mensajes de texto o llamadas telefónicas, algunas personas se preguntarán cómo se denominan los ataques de suplantación de identidad (phishing) selectivos. La respuesta es spear phishing. En términos más sencillos, son ciberataques muy personalizados y dirigidos a personas o empresas específicas. Por lo general, estos ataques se llevan a cabo por medio de correos electrónicos de spear phishing que parecen legítimos para el destinatario y motivan que comparta datos confidenciales con el atacante. Aunque el objetivo de los ataques de spear phishing suele ser robar información como credenciales de inicio de sesión o datos de tarjetas de crédito, algunos están diseñados para infectar dispositivos con malware. A menudo, quienes crean estafas de spear phishing son hackers y hacktivistas patrocinados por gobiernos. Sin embargo, ciberdelincuentes particulares también llevan a cabo estos ataques con la intención de robar identidades o cometer fraudes financieros, manipular las cotizaciones bursátiles, espiar o robar datos confidenciales para revenderlos a gobiernos, empresas privadas u otras personas interesadas.

Kaspersky Premium - bloquee ciberamenazas como el phishing y el fraude

Lo que hace que las estafas de spear phishing sean mucho más exitosas que los ataques de suplantación de identidad (phishing) estándar, es que los atacantes realizan una investigación exhaustiva de sus objetivos. Con la información que encuentran, pueden utilizar técnicas de ingeniería social para crear ataques excepcionalmente personalizados que engañan al objetivo haciéndole creer que está recibiendo solicitudes y correos electrónicos legítimos. Como resultado, incluso los objetivos más ambiciosos de las organizaciones, como altos ejecutivos, pueden abrir correos electrónicos que creen que son seguros. Este tipo de errores involuntarios permiten a los ciberdelincuentes robar los datos que necesitan para atacar la red objetivo.

¿Cómo funcionan los ataques de spear phishing?

Son cinco los pasos que se realizan para preparar un ataque de spear phishing. Los siguientes son estos pasos:

  1. Definir los objetivos del ataque.
  2. Seleccionar los objetivos por medio de una investigación preliminar.
  3. Identificar una lista de objetivos e investigarlos en detalle.
  4. Redactar el correo electrónico de spear phishing usando la información recopilada y técnicas de ingeniería social.

Estos ataques selectivos funcionan porque los correos electrónicos de spear phishing crean una sensación de familiaridad respecto de la vida del destinatario. Los atacantes dedican mucho tiempo y esfuerzo a obtener todos los detalles posibles sobre el trabajo, la vida, las amistades y la familia del destinatario. Al rastrear Internet y los perfiles de las redes sociales en plataformas como Facebook y LinkedIn, estos atacantes (denominados phishers) pueden encontrar datos como direcciones de correo electrónico y números telefónicos, una red de amistades, familiares y contactos de negocios, lugares frecuentados, e información como la empresa en la que trabaja y su cargo, los sitios en línea donde realiza compras, los servicios bancarios que utiliza, etc. Con toda esta información, los atacantes pueden elaborar perfiles exhaustivos de sus potenciales objetivos y, mediante técnicas de ingeniería social, redactar correos electrónicos personalizados, que parecen legítimos porque proceden de personas o empresas con las que suele interactuar y que contienen información que podría ser auténtica.

Por lo general, el correo electrónico solicita al destinatario que responda de inmediato y brinde determinados datos, o contiene un vínculo que redirige a un sitio web que imita al sitio legítimo en el que debe ingresar esos datos. Por ejemplo, un vínculo en el correo electrónico puede redirigir a un sitio web falso del banco o del comercio electrónico favorito del destinatario, donde deberá iniciar sesión en su cuenta. En este punto, el atacante podrá robar los datos de acceso y las contraseñas para sus propios fines maliciosos. Sin embargo, en ocasiones el correo electrónico contiene un archivo adjunto o un vínculo y, cuando el destinatario descarga el archivo o hace clic en el vínculo, un malware se instala en su dispositivo. A continuación, el atacante podrá usarlo para robar la información que necesita o secuestrar computadoras para organizarlas en enormes redes llamadas botnets que pueden utilizarse para ejecutar ataques de denegación de servicio (DoS).

Sin embargo, es importante recordar que no todos los usuarios de Internet ni perfiles de redes sociales son un buen objetivo para el spear phishing. Dado que requiere más esfuerzo que la suplantación de identidad (phishing) estándar, los ciberdelincuentes suelen buscar objetivos de alto valor. Por lo general, los atacantes utilizan algoritmos automatizados para rastrear Internet y las redes sociales en busca de determinada información (como contraseñas o PIN) e identifican a las personas importantes con el mayor potencial para realizar ataques de spear phishing exitosos.

Estas estafas se han vuelto tan sofisticadas que es casi imposible que se ataque a una persona normal. Por eso, aunque no existen medidas de ciberseguridad infalibles contra el spear phishing, comprender cómo funcionan estos ataques y qué señales hay que tener en cuenta puede ser útil para evitarlos.

Cómo identificar una estafa de spear phishing

Una de las claves para aprender a prevenir el spear phishing es comprender las distintas técnicas que emplean los phishers para garantizar ataques exitosos. De este modo, las personas y los empleados de las empresas pueden prepararse contra las estafas de spear phishing. Cuando recibes un correo electrónico con alguna de las siguientes señales de alarma, es importante tratarlo con precaución.

  • El correo electrónico está diseñado para crear una sensación de urgencia o pánico: puede pretender proceder de un directivo de la empresa y requerir con urgencia los datos de acceso para ejecutar una acción inminente.
  • Las palabras utilizadas están diseñados para desencadenar emociones, como miedo o culpa, que motiven al destinatario a actuar.
  • La dirección de correo electrónico parece incorrecta: tal vez el dominio no es correcto o el formato del nombre es inusual.
  • Hay errores ortográficos y gramaticales evidentes, en especial en correos electrónicos de grandes organizaciones, como bancos.
  • Se solicita información confidencial y datos personales.
  • Los vínculos están mal escritos, no tienen el formato correcto ni coinciden con la dirección de destino al colocar el cursor por encima.
  • Hay archivos adjuntos no solicitados, en especial algunos archivos tienen nombres inusuales.
  • Se emplean pretextos, como decir que tus credenciales de inicio de sesión están a punto de caducar y debes cambiarlas de inmediato utilizando el vínculo en el correo electrónico.

¿Cuál es la diferencia entre el spear phishing y la suplantación de identidad (phishing)?

Aunque ambos son tipos de ciberataques, puede ser importante entender en qué se diferencian los ataques de spear phishing de los de phishing. Los ciberdelincuentes utilizan ambos para inducir a los usuarios a compartir información personal confidencial. Sin embargo, los primeros son ataques dirigidos y personalizados para el objetivo previsto, mientras que los segundos son amplios ataques destinados a obtener cualquier dato confidencial que compartan los usuarios engañados.

Los ataques de suplantación de identidad (phishing) suelen consistir en correos electrónicos genéricos que intentan obligar al receptor a compartir datos personales, como contraseñas e datos de tarjetas de crédito. Luego, el phisher utiliza esta información con fines maliciosos, por ejemplo, para robar la identidad o cometer fraude financiero. Lo más importante es que los ataques de suplantación de identidad (phishing) no se adaptan en absoluto al destinatario. En esencia, los ciberdelincuentes prueban suerte y apuestan por la cantidad (enviando muchos correos electrónicos de suplantación de identidad [phishing]) en lugar de por la calidad (redactando correos electrónicos de phishing con técnicas más sofisticadas que puedan tener más posibilidades de éxito). Por lo general, estos correos parecen provenir de grandes empresas, como bancos o tiendas de comercio electrónico, y contienen vínculos maliciosos que engañan a los destinatarios para que compartan sus datos o instalen malware en sus dispositivos.

Por el contrario, las estafas de spear phishing son ataques muy personalizados dirigidos a una víctima prevista. Al contener detalles relacionados con el destinatario concreto, los correos electrónicos de spear phishing parecen más legítimos, sobre todo porque suelen proceder de personas u organizaciones que el destinatario conoce. Por eso, los ciberdelincuentes tienen que invertir mucho más tiempo y esfuerzo en lanzar ataques de spear phishing, y tienen mayores probabilidades de éxito.

Para quienes se preguntan cómo se denominan los ataques de suplantación de identidad (phishing) selectivos, existen dos subconjuntos específicos junto con el spear phishing: "whaling" y ataques a correos electrónicos empresariales (BEC).

Los ataques de whaling son un tercer tipo de ataque que tienen muchas similitudes con las estafas de phishing y de spear phishing. El whaling se dirige en especial a personas de alto perfil, como ejecutivos de alto nivel, miembros de juntas directivas, celebridades y personas del ámbito de la política. Estos ataques también se realizan mediante correos electrónicos muy personalizados para intentar robar información financiera o confidencial de empresas u organizaciones, y pueden causar importantes daños financieros o de reputación a la institución implicada.

En el último tipo de ataque de suplantación de identidad (phishing), los BEC, el atacante se hace pasar por algún empleado de la empresa para cometer fraudes financieros dirigidos hacia las organizaciones. En algunos casos, el correo electrónico puede pretender provenir de un alto ejecutivo y consigue que un empleado de nivel inferior pague una factura fraudulenta o transfiera fondos al "ejecutivo". Los BEC también pueden adoptar la forma de un correo electrónico en riesgo, en el que el atacante secuestra el correo electrónico de un empleado para conseguir que los proveedores paguen facturas falsas o que otros empleados transfieran dinero o información confidencial.

Cómo prevenir el spear phishing

A menudo, la ciberseguridad tradicional contra el spear phishing no es suficiente para prevenir estos ataques porque están muy bien perpetrados. Por consiguiente, cada vez son más difíciles de detectar. Un simple error puede tener graves consecuencias para el objetivo, ya sea una persona particular, un gobierno, una empresa o una organización sin ánimo de lucro. A pesar de la prevalencia de estos ataques (y cuán sofisticada es su personalización), hay muchas medidas que las personas o las organizaciones pueden aplicar para prevenir el spear phishing. Aunque estas medidas no erradicarán por completo la amenaza de los ataques, brindan capas adicionales de seguridad que harán que sea menos probable que estos ataques se produzcan. A continuación, podrás ver algunos consejos de especialistas sobre cómo prevenir el spear phishing.

  1. Realiza comprobaciones periódicas para detectar correos electrónicos sospechosos, como los que solicitan cambios de contraseña o contienen vínculos cuestionables.
  2. Usa una red privada virtual (VPN) para proteger y cifrar toda la actividad en línea.
  3. Utiliza un software antivirus para analizar todos los correos electrónicos en busca de archivos adjuntos, descargas o vínculos potencialmente maliciosos.
  4. Aprende a comprobar la veracidad de la fuente de un correo electrónico.
  5. Aprende a verificar las URL y los sitios web para evitar abrir vínculos maliciosos.
  6. En vez de hacer clic en los vínculos de un correo electrónico, dirígete de forma independiente al sitio web de la organización y busca la página que necesitas.
  7. Asegúrate de que todo el software está actualizado y ejecuta los últimos parches de seguridad.
  8. Ten cuidado de no compartir demasiados datos personales en línea: si es necesario, verifica tus perfiles en redes sociales y elimina todo lo que puedan utilizar los phishers. Asegúrate de que la configuración de privacidad esté al máximo nivel.
  9. Usa un administrador de contraseñas y adopta hábitos inteligentes, como crear contraseñas complejas para diferentes cuentas y cambiarlas con regularidad.
  10. Siempre que sea posible, habilita la autenticación multifactor o biométrica.
  11. Si tienes dudas sobre el origen de un correo electrónico, comunícate con la persona o la organización para verificar si dicho remitente lo envió y si solicitó la información que se te pide.
  12. Las empresas pueden ofrecer cursos de concientización sobre seguridad para asegurarse de que sus empleados comprendan los riesgos de estos ataques y cómo mitigarlos.
  13. Las organizaciones pueden realizar con regularidad simulacros de suplantación de identidad (phishing) para capacitar a los empleados sobre cómo reconocer y lidiar con correos electrónicos sospechosos.

Los ataques de spear phishing no son inevitables

La mayoría de los usuarios de Internet tienen conocimientos básicos sobre la suplantación de identidad (phishing), pero es importante comprender cuál es la diferencia entre el spear phishing y el phishing estándar. Debido a que los correos electrónicos de spear phishing utilizan técnicas de ingeniería social que requieren una investigación exhaustiva, estos ataques son muy personalizados para los objetivos previstos y, por lo tanto, tienen una probabilidad de éxito mucho mayor que los ataques de suplantación de identidad (phishing) estándar. Aunque estos ataques siempre suponen un riesgo, es posible intentar mitigarlos. Tomar medidas para saber a qué tipo de señales de advertencia hay que prestar atención en los correos electrónicos sospechosos, usar una VPN y programas antivirus de forma regular, y desconfiar de vínculos y archivos adjuntos sospechosos puede ser útil para evitar los ataques de spear phishing.

Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium recibió cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.

Artículos y enlaces relacionados:

Cómo evitar los ciberataques

¿Fui víctima de ataques de phishing?, ¿qué hago ahora?

Han hackeado mi correo electrónico, ¿qué debo hacer ahora?

Formas de evitar los ataques de ingeniería social

Productos y servicios relacionados:

Kaspersky Standard

Kaspersky Endpoint Security Cloud

Kaspersky VPN Secure Connection

Kaspersky Premium - Información sobre el producto

Descarga Kaspersky Antivirus Premium y prueba gratis

Kaspersky Standard - Descarga y prueba gratis

¿Qué es el spear phishing? Definición y riesgos

Los ataques de spear phishing suponen un riesgo importante. Pero ¿qué son estos ciberataques y cómo pueden protegerse los usuarios?
Kaspersky logo

Artículos relacionados