¿Qué es el spear phishing?

Mientras que algunas estafas de phishing se envían a millones de personas con la esperanza de que alguien pique, un ataque de spear phishing se centra en un único objetivo y puede ser muy convincente.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir el spear phishing
  • Explicar las diferencias entre phishing, spear phishing y whaling
  • Esbozar estrategias para prevenir el spear phishing y el whaling

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es el spear phishing?

Mientras que phishing es un término amplio para los ataques que pretenden engañar a la víctima para que comparta información confidencial, el spear phishing es un ataque de phishing que tiene un único objetivo, que puede ser un individuo, una organización o una empresa.

Los ataques de spear phishing son especialmente eficaces porque el atacante puede utilizar información sobre la víctima, a menudo información pública encontrada en Internet, para que el ardid sea convincente.

¿Cómo son los ataques de spear phishing?

Una táctica habitual del spear phishing es que el atacante se haga pasar por alguien con una posición de autoridad, porque la gente es mucho más propensa a responder a una figura de autoridad.

A continuación, un ejemplo:

Joe es el asistente ejecutivo de una Directora general llamada Mary. Un día, cuando Mary está de vacaciones en el extranjero, ella le envía un correo electrónico urgente a Joe. En el correo electrónico se indica que le han robado el equipaje y el teléfono. Ella le dice que no tiene dinero ni pasaporte, y que necesita que le envíe sus credenciales de PayPal lo antes posible para poder reservar un hotel y comprar un vuelo a casa. Joe podría ver este angustioso mensaje de su empleador y enviar inmediatamente la información solicitada.

Este tipo de solicitud de "Estoy en apuros y necesito dinero" de un superior es un guion habitual en el spear phishing. El atacante podría estar suplantando el correo electrónico de Mary, así como enviando el correo electrónico a decenas de combinaciones diferentes del nombre y las iniciales de Joe con la esperanza de encontrar el correcto. El atacante también podría haberse enterado de los planes de vacaciones de Mary al seguirla en Twitter. Combinando todas estas herramientas, el atacante puede idear una estafa muy convincente.

De este tipo de ataque se produjo en 2016 un ejemplo notable, cuando un atacante se hizo pasar por el Director general de Snapchat y pudo convencer a un empleado de que entregara información confidencial sobre las nóminas.

Los ataques de spear phishing también pueden aprovechar la información de las fugas de datos. Otro ejemplo:

Steve compra un ordenador en un importante minorista en línea, pero unas semanas después el minorista sufre una fuga de datos. Aunque los datos confidenciales, como los números de las tarjetas de crédito y las contraseñas, estaban protegidos con un hash, se filtraron las direcciones de correo electrónico de los clientes y los historiales de los pedidos.

Unos días más tarde, Steve recibe un correo electrónico del fabricante de su nuevo ordenador en el que se le anuncia que su modelo está siendo retirado del mercado, y se le proporciona un enlace donde podrá reclamar el reembolso. El enlace lleva a Steve a una versión falsa del sitio web del fabricante y le proporciona un formulario para que pueda introducir su número de tarjeta de crédito para recibir el reembolso. El atacante utilizó algunos datos inofensivos para ganarse la confianza de Steve y engañarlo para que enviara sus datos financieros.

¿En qué se diferencian el spear phishing y el whaling?

El whaling es un ataque de phishing dirigido a una víctima de muy alto perfil, normalmente un alto ejecutivo de una empresa o un famoso. Los ataques de whaling suelen ser más sofisticados y, en muchos casos, los atacantes realizan primero ataques de spear phishing contra objetivos más pequeños, como los empleados de menor rango de la empresa, para poder acceder a su víctima final.

Por ejemplo:

Mientras está de vacaciones, Mary, la Directora general, recibe un correo electrónico o una llamada de alguien que conoce de su equipo de TI en la que se le informa de que están sufriendo un ciberataque, y se le solicita acceso a su ordenador de la oficina y a sus cuentas para garantizar la seguridad de los datos de la empresa. Es posible que un atacante haya puesto en riesgo a su equipo de TI para ganarse la confianza de Mary, con la esperanza de convencerla de que entregue sus credenciales.

Cómo protegerse contra el spear phishing y el whaling

Ya que el spear phishing implica ingeniería social, no existe una forma infalible de protegerse contra este tipo de ataques. Sin embargo, se pueden tomar una serie de precauciones para prevenir y mitigar los intentos de spear phishing. Entre estas se incluyen:

  • Nunca compartas datos financieros, contraseñas o cualquier otro dato confidencial por teléfono, chat o correo electrónico.
  • No hagas clic en los enlaces de correos electrónicos, aunque parezca que proceden de una fuente de confianza. Copiar y pegar o escribir a mano la URL puede ayudar a protegerte de los ataques de cross-site scripting.
  • Activa la autenticación de 2 factores en todas las cuentas importantes, para que no sea suficiente con las credenciales de acceso robadas.
  • Habilita las políticas de seguridad Zero Trust para garantizar que un intruso no tenga acceso abierto a una red.