Spear phishing: qué es y por qué es el ataque de phishing más peligroso

El phishing o suplantación de identidad es una de las formas de cibercrimen más usadas, como atestigua la carpeta de spam en el correo de cualquiera, pero unas variantes son más peligrosas que otras. El spear phishing (phishing 'lanza' o phishing selectivo), a diferencia del phishing masivo con el que se envían correos electrónicos a grandes cantidades de destinatarios al azar, es una forma de ataque dirigida contra individuos concretos o grupos específicos dentro de una organización y se basa en ingeniería social.

Este tipo de ataque puede realizarse a través de correos electrónicos, mensajes de texto, aplicaciones de chat o llamadas telefónicas y se caracteriza por la personalización. Los ciberdelincuentes llevan a cabo una investigación sobre sus objetivos para poder crear mensajes que resulten creíbles. Se utiliza información muy concreta del mismo, como puede ser su nombre y puesto en su empresa o detalles de la vida personal y profesional obtenidos de fuentes públicas como redes sociales. Esta táctica de ingeniería social aumenta significativamente las posibilidades de que el ataque funcione y lo convierte en el tipo de phishing más dañino.

Las campañas de spear phishing pueden pretender obtener grandes sumas de dinero mediante pagos o transferencias fraudulentas, o buscar datos financieros. Otros objetivos incluyen la propagación de ransomware u otro malware a través de archivos adjuntos maliciosos, el robo de credenciales de inicio de sesión para ataques posteriores, o la sustracción de información sensible como datos de clientes, empleados, propiedad intelectual o secretos comerciales.

Un informe de la compañía de ciberseguridad Barracuda Networks explica que analizó 50 mil millones de correos electrónicos y encontró que, aunque el spear phishing representaba menos del 0,1 % de los correos, estaba detrás del 66 % de las brechas exitosas. Mientras que una brecha causada por phishing cuesta de promedio 4,76 millones de dólares, los ataques de spear phishing pueden ascender a 100 millones. La creciente disponibilidad de inteligencia artificial, especialmente las herramientas de IA generativa, está facilitando a los spear phishers la ejecución de ataques más sofisticados y efectivos, permitiendo crear mensajes de phishing en minutos en lugar de horas y generar documentos falsos convincentes.

Tipos de spear phishing

Dentro del spear phishing, pueden encontrarse varias clases:

Whaling o whale phishing: Se dirige específicamente a víctimas de alto perfil y valor, como miembros de juntas directivas, ejecutivos de alto nivel, celebridades o políticos. Buscan obtener grandes sumas de dinero o acceso a información altamente confidencial.

Cuenta de correo empresarial comprometida (BEC): Son estafas de spear phishing que buscan específicamente robar a organizaciones. Los ataques BEC exitosos se encuentran entre las ciberamenazas más costosas. Dos formas comunes:

• Fraude del CEO: El estafador suplanta a un ejecutivo de alto nivel y ordena a empleados que están por debajo transferir fondos a una cuenta fraudulenta o realizar compras a un proveedor falso.
• Cuenta de correo electrónico comprometida (EAC): El estafador obtiene acceso a la cuenta de correo de un empleado de menor nivel (como finanzas o ventas) y la utiliza para enviar facturas fraudulentas, ordenar pagos o solicitar datos confidenciales.

Cómo detectar una estafa de spear phishing

Dado que los ataques de spear phishing son tan personalizados, pueden resultar difíciles de detectar. Sin embargo, hay señales de alerta a las que conviene prestar atención:

• El correo electrónico busca crear un sentido de urgencia o pánico.
• El lenguaje está diseñado para desencadenar emociones como miedo, culpa, gratitud o codicia.
• La dirección de correo electrónico parece incorrecta (por el dominio o un formato de nombre inusual).
• Errores de ortografía y gramática.
• Solicita información sensible o detalles personales.
• Enlaces sospechosos que no coinciden con la dirección de destino al pasar el cursor.
• Archivos adjuntos no solicitados, especialmente con nombres de archivo inusuales.
• Uso de pretextos, inventando una historia o una situación realista para engañar a la víctima, como solicitar un cambio de contraseña inmediato.

Cómo protegerse del spear phishing

Detener el spear phishing requiere de la combinación del sentido común del usuario y herramientas de ciberseguridad. IBM, en sus advertencias sobre el spear phishing, recomienda varias estrategias:

Capacitación en concienciación sobre seguridad: Enseñar a los empleados a reconocer correos electrónicos sospechosos, evitar compartir demasiado en redes sociales y seguir políticas internas como verificar solicitudes inusuales de pago por un segundo canal.

Gestión de identidad y acceso (IAM): Herramientas como el control de acceso basado en roles y la autenticación multifactor (MFA) pueden evitar que los atacantes accedan a cuentas, incluso si obtienen una contraseña.

Controles de ciberseguridad:

• Herramientas de seguridad de correo electrónico, como filtros de spam y pasarelas seguras, pueden ayudar a detectar correos de spear phishing.
• El software antivirus puede neutralizar infecciones de malware.
• Las pasarelas web seguras y firewalls pueden bloquear sitios web maliciosos.
• Parches de sistema y software cierran vulnerabilidades técnicas.
• Las herramientas de protección de dispositivos pueden evitar que los atacantes se apoderen de ellos o planten malware.
• Las soluciones de seguridad empresarial ayudan a detectar y responder a actividad de red maliciosa.

Verificar solicitudes: Si dudas de la fuente de un correo, verifica con la persona o la organización involucrada a través de un medio de comunicación diferente, como una llamada telefónica.

Evitar hacer clic en enlaces: En lugar de hacer clic en enlaces en un correo electrónico, navega independientemente al sitio web de la organización y busca la página necesaria.

Gestión de la privacidad en redes sociales: Sé consciente de la información que compartes online y ajusta la configuración de privacidad al nivel más alto posible.