Spear phishing: definición y 6 consejos de prevención

por | febrero 10, 2022 | Cómo hacerlo

Spear Phishing

El spear phishing es un tipo de ataque dirigido para robar información sensible de una víctima específica, como credenciales de cuentas o información financiera, con fines maliciosos.

Esto se consigue obteniendo información personal sobre la víctima, como sus conexiones, lugar de nacimiento, empresa, zonas frecuentadas y compras recientes en Internet.

Los atacantes utilizan entonces el correo electrónico u otras formas de chat en línea para suplantar a un amigo o entidad de confianza y obtener información crítica. Este es el método más eficaz para obtener información sensible en Internet, ya que representa el 91% de todos los ataques.

¿Cómo funciona el spear phishing?

  • aunque el spear-phishing pueda parecer un acto sencillo, los correos electrónicos de spear-phishing han avanzado en los últimos años y ahora son extremadamente difíciles de detectar sin un conocimiento previo de la seguridad del spear-phishing. Los atacantes que utilizan el spear phishing para dirigirse a personas que publican información personal en Internet se conocen como spear phishers. Al explorar una red social, es posible que miren los perfiles individuales.
  • Consultando un perfil, podrán localizar la dirección de correo electrónico de una persona, su lista de amigos, su ubicación geográfica y cualquier publicación reciente en nuevos dispositivos. Con toda esta información, el atacante puede presentarse como un amigo o una entidad conocida y enviar a su objetivo un mensaje falso pero convincente.
  • un correo electrónico parece provenir de una fuente fiable, pero dirige al destinatario sin saberlo a un sitio web fraudulento que contiene malware. Estos correos electrónicos suelen emplear estrategias engañosas para captar la atención de sus destinatarios. El FBI, por ejemplo, ha advertido sobre los esquemas de spear phishing que se presentan como correos electrónicos del Centro Nacional para Niños Desaparecidos y Explotados.
  • Estas comunicaciones suelen incluir explicaciones urgentes sobre el motivo por el que necesitan información sensible para aumentar los índices de éxito. A las víctimas se les indica que abran un archivo adjunto malicioso o que hagan clic en un enlace a un sitio web falso en el que se les pide que introduzcan contraseñas, números de cuenta, PIN y códigos de acceso.
  • un atacante que se presenta como un amigo puede pedir los nombres de usuario y las contraseñas de varios sitios web, como Facebook, para acceder a las imágenes que se han compartido. En realidad, los atacantes utilizarán esa contraseña, o variaciones de la misma, para acceder a varios sitios web que contienen datos personales, como números de tarjetas de crédito y de la Seguridad Social.
  • Los delincuentes pueden acceder a cuentas bancarias o incluso crear una nueva identidad con los datos de su víctima si han obtenido suficiente información sensible. Cuando los consumidores pulsan los enlaces o abren los archivos adjuntos ofrecidos en las comunicaciones, el spear-phishing puede engañarlos para que descarguen malware o código destructivo.

La diferencia entre phishing y spear phishing

Las campañas de phishing habituales se dirigen a muchos objetivos, generalmente de bajo rendimiento, mientras que el spear-phishing se dirige a objetivos específicos con correos electrónicos de diseño exclusivo.

Aaron Higbee, cofundador y CTO de la empresa antiphishing Cofense (o anteriormente conocida como PhishMe), afirma que:

«El phishing es algo genérico, de baja tecnología, no son ataques dirigidos. No les importa especialmente quién es su objetivo. Sólo lanzan una amplia red para intentar atrapar al mayor número de personas y empresas posible».

Higbee también añadió que: «El spear phishing es una campaña que un atacante construye a propósito para penetrar en una organización, y en la que realmente investigará nombres y roles dentro de una empresa».

Los ataques de spear phishing son más difíciles que las operaciones de phishing masivo, y suelen incluir el uso de kits automatizados listos para usar para obtener credenciales en masa mediante páginas de inicio de sesión falsas para servicios bancarios o de correo electrónico comunes, o la propagación de ransomware o malware de minería de criptomonedas.

Algunas campañas dirigidas utilizan documentos que llevan malware o enlaces a páginas de robo de credenciales para conseguir información sensible o propiedad intelectual valiosa o comprometer los sistemas de pago. Otros omiten las cargas útiles maliciosas y prefieren basarse en la ingeniería social para controlar los procesos que dan lugar a un pequeño número de recompensas significativas realizadas a través de una única o una serie de transferencias bancarias.

La sección «de» de un correo electrónico se falsifica con frecuencia para que parezca que proviene de una entidad conocida o de un dominio que parece similar al suyo o al de uno de sus socios de confianza. Por ejemplo, en el alfabeto ruso, la letra «o» puede sustituirse por el número «0», y la letra «w» podría reemplazarse por «ш».

Los delincuentes han evolucionado sus enfoques desde los días en que las campañas de spear-phishing adjuntaban documentos maliciosos a los correos electrónicos tal cual o en un archivo zip. En cambio, muchos documentos maliciosos se almacenan ahora en sitios de buena reputación como Box, Dropbox, OneDrive o Google Drive, según Higbee, porque los atacantes saben que es poco probable que sean detenidos por el departamento de TI:

“We’re also starting to see phishing attacks that are trying to compromise API tokens or session tokens to get access to an email box or to get access to a OneDrive or SharePoint site.”

«También estamos empezando a ver ataques de phishing que intentan comprometer los tokens de la API o los tokens de sesión para acceder a un buzón de correo electrónico o para acceder a un sitio de OneDrive o SharePoint.»

Consejos para evitar un ataque de spear-phishing

1. Controle la información personal que comparte en Internet:

  • Echa un vistazo a sus perfiles en las redes sociales. ¿Qué tipo de información personal es accesible para los posibles atacantes? Si no desea que un potencial estafador vea algo, no lo comparta o, al menos, asegúrese de que su opción de privacidad está configurada para limitar lo que otros pueden ver.

2. Utilice contraseñas inteligentes:

  • No utilice la misma contraseña o una combinación de contraseñas para todas sus cuentas. Si reutiliza contraseñas o variaciones de las mismas, un atacante puede acceder a todas sus cuentas si conoce una de sus contraseñas.
  • Todas las contraseñas deben ser únicas; las más seguras contienen frases, números y letras al azar.

3. Actualice su software regularmente:

  • Si su proveedor de software le informa de que hay una nueva actualización disponible, instálela inmediatamente. La mayoría de los sistemas de software vienen con actualizaciones de software de seguridad que deberían protegerle para evitar amenazas frecuentes. Active las actualizaciones automáticas de software siempre que sea posible.

4. No pulse los enlaces de los correos electrónicos:

  • Si una organización, como su banco, le facilita un enlace, abra su navegador y vaya directamente al sitio web del banco en lugar de hacer clic en él.
  • Al pasar el cursor por encima de un enlace, también se mostrará su destino. Es muy posible que la URL sea maliciosa si no coincide con el texto de anclaje del enlace o con el destino especificado en el correo electrónico.

5. Utilice la lógica al abrir los correos electrónicos:

  • Si usted recibe un correo electrónico de un «amigo» pidiéndole información personal, como su contraseña, compruebe dos veces si la dirección de correo electrónico del remitente es una que ha visto antes. No recibirá un correo electrónico de una empresa legítima pidiéndole su cuenta o contraseña. Su mejor opción es ponerse en contacto con ese «amigo» o empresa a través del teléfono o consultar el sitio web oficial de la empresa para determinar si fueron ellos quienes se pusieron en contacto con usted.

6. Implemente un programa de seguridad de datos en su empresa:

  • La pérdida de datos debida a los ataques de spear-phishing puede evitarse con un programa de protección de datos que combine la educación de los usuarios sobre las mejores prácticas de seguridad de datos con la adopción de una solución de protección de datos. El software de protección contra la pérdida de datos debe utilizarse para asegurar los datos sensibles en empresas medianas y grandes, incluso si un usuario es víctima de una estafa de phishing.

Reflexiones finales

Por supuesto, al final, el mejor método para prevenir estos ciberataques es la formación, suya y de sus empleados, sobre lo que se debe hacer ante estos ataques. De esta manera, se asegura una nueva capa de seguridad para su empresa, evitando grandes ataques y brechas de datos.

Recursos:

by Andreea Popa

Content writer for Attack Simulator, delivering your daily dose of awareness for cyber security! Love to write passionately about any subject and my mainly inspiration are people's stories. You can also find me on social media, for some more friendly things!

There’s no reason to postpone training your employees

Get a quote based on your organization’s needs and start building a strong cyber security infrastructure today.