Alerta por una nueva estafa: en qué consiste y cómo prevenir este nuevo tipo de phishing

Las estafas en internet están a la orden del día. Los delincuentes buscan cualquier truco para conseguir su objetivo. Uno de los tipos de fraude más repetido es el phishing, que según explica el Instituto Nacional de Ciberseguridad (INCIBE), es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo.

Se han revelado diversas estafas que simulan a gran cantidad de empresas e instituciones como Hacienda o la DGT. Sin embargo, una de las últimas y más peligrosas llega mediante la suplantación a Google. Esta es altamente peligrosa porque reproduce con bastante fidelidad las comunicaciones que envía esta compañía. Todos estos engaños funcionan con mensajes masivos, pero los ciberdelincuentes están usando una nueva estrategia para engañar: el spear phishing.

¿Qué es el spear phishing?

Varias organizaciones oficiales y empresas reconocidas explican el funcionamiento de esta estafa, que es una variante del phishing clásico. El spearphishinges un tipo de ataque de phishing dirigido, es decir, está concebido para atacar a personas u organizaciones concretas mediante el envío de correos electrónicos maliciosos, según explica el Banco Santander. El objetivo, al igual que en el otro, es realizar un cargo económico u obtener información sensible o confidencial, como, por ejemplo, credenciales de inicio de sesión, o infectar con algún tipo de malware los dispositivos de la víctima.

La gran particularidad del spear phishing se encuentra en la palabra dirigido. El mencionado banco lo explica así: "Al tratarse de un ciberataque selectivo, los ciberdelincuentes investigan primero a sus objetivos y personalizan los mensajes que les envían para que parezca que proceden de remitentes de confianza y que conocen a la persona a la que se dirigen".

Por tanto, aquí se estudia y se selecciona a la víctima antes de enviar el mensaje, que no es al azar. La personalización de estos mensajes es lo que los hace peligrosos y efectivos. Los estafadores utilizan métodos de reconocimiento para obtener información de sus potenciales víctimas y lograr así que los emails, SMS o llamadas sean realistas.

Esta es la diferencia entre el phishing clásico y el spear phishing

Los correos electrónicos enviados por los estafadores utilizan técnicas de ingeniería social para que la víctima haga clic en un enlace o archivo adjunto malicioso que le permitirá al atacante robar las credenciales del usuario. Sin embargo, hay diferencias entre ambos tipos de phishing:

• Phishing: Este tipo de correos de phishing son masivos, es decir, se envían a un gran número de destinatarios, por lo que el contenido del mensaje que recibe la víctima es genérico. El término phishing suele referirse a los ataques que se producen mediante emails, mientras que si se realizan a través de llamadas se conocen como vishing y, si utilizan mensajes de texto, smishing. Todos ellos no necesitan preparación al enviarse de manera estándar a todos los usuarios.
• Spear phishing: Este tipo de ataques son selectivos o dirigidos y el contenido del mensaje está completamente personalizado. Para los ciberdelincuentes, este tipo de ataques son más costosos de realizar, ya que tienen que dedicar tiempo a investigar a sus víctimas y elaborar los mensajes de los emails, SMS o llamadas para que parezcan verdaderos.

Whaling, el spear phishing más dañino

Aunque tenga un nombre complejo, este engaño es igual que el spear phishing con una particularidad, busca un objetivo concreto y de alto valor. Las víctimas suelen ser directivos o cargos relevantes dentro de las organizaciones o empresas. Estos ataque son especialmente peligrosos porque estos cargos suelen tener mayor cantidad de información confidencial y un mayor número de permisos. También su capacidad económica suele ser mayor.

¿Cómo identificar este fraude?

Las estafas, especialmente estas personalizadas, son difíciles de identificar al estar muy elaboradas. Sin embargo, hay algunos trucos que explica el Banco Santander:

• La dirección de email no pertenece al remitente que dice ser.
• La urgencia que transmite el contenido del mensaje.
• Puede presentar errores ortográficos o gramaticales.
• Se pide información confidencial como contraseñas, cuentas bancarias, PINs, códigos de un solo uso del doble factor de autenticación, etc. También puede solicitar transferencias de dinero.
• Contiene enlaces que no coinciden con el dominio legítimo al que dicen pertenecer.
• Incluye archivos adjuntos no solicitados.
• El contenido del mensaje intenta asustar al destinatario para que actúe con rapidez.