Mientras que algunas estafas de phishing se envían a millones de personas con la esperanza de que alguien pique, un ataque de spear phishing se centra en un único objetivo y puede ser muy convincente.
Después de leer este artículo podrás:
Contenido relacionado
Ataque de modalidad phishing
¿Qué es una amenaza interna?
Seguridad Zero Trust
¿Qué es IAM?
Autenticación en dos fases
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Mientras que phishing es un término amplio para los ataques que pretenden engañar a la víctima para que comparta información confidencial, el spear phishing es un ataque de phishing que tiene un único objetivo, que puede ser un individuo, una organización o una empresa.
Los ataques de spear phishing son especialmente eficaces porque el atacante puede utilizar información sobre la víctima, a menudo información pública encontrada en Internet, para que el ardid sea convincente.
Una táctica habitual del spear phishing es que el atacante se haga pasar por alguien con una posición de autoridad, porque la gente es mucho más propensa a responder a una figura de autoridad.
A continuación, un ejemplo:
Joe es el asistente ejecutivo de una Directora general llamada Mary. Un día, cuando Mary está de vacaciones en el extranjero, ella le envía un correo electrónico urgente a Joe. En el correo electrónico se indica que le han robado el equipaje y el teléfono. Ella le dice que no tiene dinero ni pasaporte, y que necesita que le envíe sus credenciales de PayPal lo antes posible para poder reservar un hotel y comprar un vuelo a casa. Joe podría ver este angustioso mensaje de su empleador y enviar inmediatamente la información solicitada.
Este tipo de solicitud de "Estoy en apuros y necesito dinero" de un superior es un guion habitual en el spear phishing. El atacante podría estar suplantando el correo electrónico de Mary, así como enviando el correo electrónico a decenas de combinaciones diferentes del nombre y las iniciales de Joe con la esperanza de encontrar el correcto. El atacante también podría haberse enterado de los planes de vacaciones de Mary al seguirla en Twitter. Combinando todas estas herramientas, el atacante puede idear una estafa muy convincente.
De este tipo de ataque se produjo en 2016 un ejemplo notable, cuando un atacante se hizo pasar por el Director general de Snapchat y pudo convencer a un empleado de que entregara información confidencial sobre las nóminas.
Los ataques de spear phishing también pueden aprovechar la información de las fugas de datos. Otro ejemplo:
Steve compra un ordenador en un importante minorista en línea, pero unas semanas después el minorista sufre una fuga de datos. Aunque los datos confidenciales, como los números de las tarjetas de crédito y las contraseñas, estaban protegidos con un hash, se filtraron las direcciones de correo electrónico de los clientes y los historiales de los pedidos.
Unos días más tarde, Steve recibe un correo electrónico del fabricante de su nuevo ordenador en el que se le anuncia que su modelo está siendo retirado del mercado, y se le proporciona un enlace donde podrá reclamar el reembolso. El enlace lleva a Steve a una versión falsa del sitio web del fabricante y le proporciona un formulario para que pueda introducir su número de tarjeta de crédito para recibir el reembolso. El atacante utilizó algunos datos inofensivos para ganarse la confianza de Steve y engañarlo para que enviara sus datos financieros.
El whaling es un ataque de phishing dirigido a una víctima de muy alto perfil, normalmente un alto ejecutivo de una empresa o un famoso. Los ataques de whaling suelen ser más sofisticados y, en muchos casos, los atacantes realizan primero ataques de spear phishing contra objetivos más pequeños, como los empleados de menor rango de la empresa, para poder acceder a su víctima final.
Por ejemplo:
Mientras está de vacaciones, Mary, la Directora general, recibe un correo electrónico o una llamada de alguien que conoce de su equipo de TI en la que se le informa de que están sufriendo un ciberataque, y se le solicita acceso a su ordenador de la oficina y a sus cuentas para garantizar la seguridad de los datos de la empresa. Es posible que un atacante haya puesto en riesgo a su equipo de TI para ganarse la confianza de Mary, con la esperanza de convencerla de que entregue sus credenciales.
Ya que el spear phishing implica ingeniería social, no existe una forma infalible de protegerse contra este tipo de ataques. Sin embargo, se pueden tomar una serie de precauciones para prevenir y mitigar los intentos de spear phishing. Entre estas se incluyen: