Ciberseguridad · 6 minutos de lectura

Spear phishing: cómo detectar esta amenaza digital y protegerte de ella

Spear phishing: cómo detectar esta amenaza digital y protegerte de ella
Imagen: DD Images(Shutterstock)

El phishing, o correo electrónico fraudulento, es una de las formas de estafa digital más antiguas y con mayor capacidad para reinventarse. Consiste en el envío de emails que simulan proceder de empresas y organizaciones legítimas, con el único objetivo de que la víctima ‘muerda el anzuelo’ y proporcione sus datos personales y bancarios a los ciberdelincuentes. Entre sus muchas encarnaciones, el spear phishing es de las más peligrosas, ya que el ataque no es lanzado al azar, sino dirigido a una víctima específica.

Índice:

  1. Spear phishing: definición
  2. Diferencia entre phishing y spear phishing
  3. Tipos de spear phishing
  4. Consejos para detectar casos de spear phishing
  5. Cómo actuar tras un ataque de spear phishing

Spear phishing: definición

El spear phishing es un engaño basado en la ingeniería social. Una persona o grupo de personas envían correos electrónicos suplantando la identidad de una entidad o institución real -un banco, la Seguridad Social, el SEPE, etc- e instan a su receptor, bajo cualquier excusa, a dirigirse a una página web donde se le solicitan datos o claves relativos a su persona o cuentas bancarias. El objetivo, por supuesto, es el de sustraer dinero o información, de forma directa o indirecta.

Hasta aquí, esta variante no se distingue en nada del phishing original o genérico. Sin embargo, hay una diferencia fundamental, y es que el spear phishing no es un asalto masivo, sino individualizado.

Las claves de la ciberseguridad: concienciación, protección y respuesta

Diferencia entre phishing y spear phishing

Un ataque de spear phishing tiene en su punto de mira a empresas, instituciones o entidades específicas en lugar de a un gran colectivo. El propio término, que puede traducirse como ‘pesca con lanza’, nos da una pista de su funcionamiento: no se arroja la red al banco de peces, sino que se apunta directamente a la pieza deseada.

Al dirigirse a un destinatario concreto, los mensajes de spear phishing suelen ser mucho más elaborados y personalizados que los habituales en el phishing común. El ‘trabajo’ de documentación y seguimiento a la víctima es mucho más exhaustivo y multicanal: se recopila información de redes sociales, publicaciones en foros, etcétera. El resultado es una maniobra de engaño muy bien diseñada, con la máxima fidelidad hacia las relaciones personales, profesionales y financieras del estafado. 

Por otra parte, las organizaciones detrás de esta forma de ciberdelito pueden ser mucho más grandes, mejor financiadas y con metas mucho más ambiciosas que una simple banda criminal. 

Tipos de spear phishing

La irrupción de los nuevos canales de comunicación ha diversificado las vías de entrada del phishing y, por ende, del spear phishing. A continuación citaremos algunas de las ‘cepas’ más frecuentes:

  • Spear phishing por email: el tradicional, similar a los ataques indiscriminados en su funcionamiento.
  • Spear phishing por redes sociales: los agresores se dirigen a su víctima a través de su perfil en las plataformas online profesionales o de ocio.
  • Spear phishing telefónico: conocido en su vertiente común como vishing. Los ciberdelincuentes intentan sonsacar la información por teléfono o a través de mensajes de voz.
  • Whaling: la forma más sofisticada de spear phishing. Suele dirigirse contra CEOs o mandos empresariales y realizarse mediante las técnicas de ingeniería social más avanzadas.
  • Business Email Compromise: similar al anterior en sus objetivos y modus operandi, aprovecha la universalidad del uso del correo electrónico en las altas instancias empresariales. En este caso, la amenaza se agrava con el envío de programas maliciosos (malware).
Autenticación multifactor o MFA: qué es y por qué debes utilizarla en tu empresa

Consejos para detectar casos de spear phishing

Las medidas de seguridad para evitar disgustos son las mismas que para el phishing genérico, pero al ser esta una iteración más elaborada de la estafa, el nivel de alerta debe ser mayor, así como los protocolos de verificación y contraste de las comunicaciones. Por eso se recomienda: 

  • Utilizar contraseñas seguras y cambiarlas habitualmente de forma diligente.
  • No abrir correos electrónicos sospechosos, teniendo presente que es muy poco probable que una entidad o institución legítima se ponga en contacto con nadie sin una solicitud previa o un proceso administrativo activo.
  • No pulsar enlaces de emails sospechosos; pueden conducir una fuente de malware o un sitio web bajo el control de los ciberdelincuentes
  • Desconfiar de solicitudes de información inusuales o incongruentes con la normativa de protección de datos. 
  • Mantener los antivirus, firewalls y sistemas de seguridad actualizados y bajo constante mantenimiento.
  • Formación, formación y formación. Todo usuario, empleado o directivo debe informarse y ser informado sobre las amenazas que acechan en la red y los métodos para interceptarlas.

Cómo actuar tras un ataque de spear phishing

Si falla la prevención, llega el momento de contener el sangrado. Para evitar males mayores, hay que llevar a cabo sin dilación los siguientes pasos:

  • Inventariar todos los datos bancarios, personales o de cualquier otro tipo que los cibercriminales hayan conocido fraudulentamente.
  • Cambiar las claves y contraseñas bancarias, de las redes sociales y en general de cualquier activo o plataforma que puedan controlar los atacantes.
  • Ponerse en contacto con la entidad, organización o compañía cuya identidad haya sido suplantada en el ataque.
  • Denunciar lo ocurrido ante las autoridades.
Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Fraude de dispositivo no reconocible
Los desafíos de seguridad en la era de la inteligencia artificial 
Regulación y cumplimiento en la seguridad de la IA: lo que debes saber
Seguridad internet: ¿qué es y por qué es vital en la empresa?
Credential stuffing: qué es y cómo funciona este ataque

También te interesará…

9 min
19 mayo 2023
El phishing es uno de los ataques informáticos más habituales. Suele llegar por correo electrónico y está basado en el engaño, en hacer creer lo que no es para sustraer...
  9 min
6 min
5 mayo 2023
En lo referente a la protección de datos empresarial, nunca se toman bastantes precauciones. Los accidentes ocurren, los ciberdelincuentes atacan y las barreras informáticas nunca son cien por cien seguras,...
  6 min
6 min
15 febrero 2023
El llamado phishing, que podría traducirse como ‘pesca’, es una de las formas de estafa digital más antiguas y extendidas. Consiste en el envío de mails que simulan provenir de...
  6 min
Lo más visto
Fraude de dispositivo no reconocible
Los desafíos de seguridad en la era de la inteligencia artificial 
Regulación y cumplimiento en la seguridad de la IA: lo que debes saber
Seguridad internet: ¿qué es y por qué es vital en la empresa?
Credential stuffing: qué es y cómo funciona este ataque
LinkedIn Twitter Facebook Whatsapp Email