¿Qué es el spear phishing?
El spear phishing es una modalidad de ataque de “phishing dirigido” en la cual un ciberdelincuente focaliza sus esfuerzos en una entidad o individuo específico, empleando mensajes de texto o correos electrónicos individualizados para acceder a información de carácter confidencial. Las campañas de este tipo de phishing comúnmente incorporan información de interés para las víctimas con el fin de ganarse su confianza.
Cómo funciona el spear phishing
Para preparar un ataque de spear phishing, un ciberdelincuente investiga a sus víctimas para recopilar información que pueda utilizar para hacerse pasar por una fuente confiable. Utilizando esa información, el atacante se pone en contacto con su víctima a través de mensajes de texto o correo electrónico, intentando que interactúe con el mensaje de manera que, en última instancia, divulgue datos confidenciales o efectúe alguna acción que pueda beneficiar de alguna manera al atacante.
A continuación, desgranamos el proceso detallado de cómo funciona un ataque de spear phishing:
- El agresor o entidad ciberdelincuente determina una información específica que desea obtener, por ejemplo: un número de Seguridad Social, información financiera o detalles de inicio de sesión de una cuenta, entre otros.
- Realiza una investigación sobre individuos u organizaciones a través de perfiles públicos en redes sociales o sitios web de empresas. Este estudio busca hallar datos específicos de un integrante de una organización o colaborador de su objetivo, los cuales utilizará posteriormente para diseñar un ataque personalizado en el que pueda desarrollar una suplantación totalmente creíble.
- Si le es posible, investiga las protecciones de ciberseguridad que pudiera tener su víctima, incluido el software antivirus, para encontrar vulnerabilidades que pueda explotar de manera que, si necesita desplegar malware en el equipo de la víctima, no se encuentre con un impedimento técnico o una solución defensiva que se lo impida.
- Lanza un mensaje personal a su víctima. El mensaje suele contener una solicitud urgente y habitualmente se envía por correo electrónico, redes sociales, llamada telefónica (vishing) o bien vía mensaje de texto o aplicación de mensajería instantánea (smishing).
Hay que destacar que, en ocasiones, el atacante usa un mensaje previo que no tiene que ver con el ataque pero que consigue que el receptor baje la guardia y establezca una comunicación cordial con el ciberdelincuente. En estos mensajes a las víctimas no se les pide que realicen ninguna acción y suelen ser amables mensajes que establecen un vínculo del que luego se aprovechará el ciberdelincuente para perpetrar su plan. Además, esta comunicación le sirve al atacante para conocer qué grado de colaboración ofrece la víctima. Una vez que verifica que la víctima se muestra receptiva a sus mensajes y no lo identifica como una amenaza, ejecutará el siguiente paso. - Convence a su víctima para que ceda a sus peticiones de manera que esta realice una filtración de información, facilitándole los datos que desea (que puede utilizar para cometer fraude u otro acto malicioso) o realice alguna acción normalmente en beneficio del ciberdelincuente, como una transferencia bancaria, en detrimento de la compañía atacada o de un tercero al que el ciberdelincuente necesite atacar.
El éxito de una campaña de spear phishing depende en gran medida de cuánta investigación previa y personalización se dedica al ataque. Es por esto que estos ataques son minuciosamente organizados y ejecutados con paciencia y tiempo. A menudo se identifica a piratas informáticos patrocinados por gobiernos, con planes de ataque e infiltraciones que se pueden alargar durante años, de manera que se centran en la calidad por encima de la cantidad.
Para aparecer como fuentes confiables, los ciberdelincuentes realizan un profundo reconocimiento de sus víctimas, lo que supone una de las mayores diferencias entre el phishing tradicional y el spear phishing. Debido al detalle y la personalización que a menudo conlleva un ataque, el spear phishing puede entenderse como una de las formas más avanzadas de ingeniería social.
¿Cuál es la diferencia entre phishing y spear phishing?
La mayor diferencia entre el phishing tradicional y el spear phishing es que un ataque de spear phishing se dirige a una persona u organización específica, mientras que el phishing es un ciberataque más genérico y dirigido normalmente a un grupo grande de personas.
Los atacantes investigan cuidadosamente a las víctimas potenciales para encontrar aquellas que tienen los datos o la información que desean y personalizan sus mensajes para convencerlas y que confíen en ellos. De hecho, para realizar un ataque de spear phishing, es posible que los ciberdelincuentes usen previamente otro tipo de ataques que les permitan extraer la información necesaria con la que confeccionar su ataque a medida, de manera que éste sea lo más convincente posible.
Por ejemplo, si yo fuera un ciberdelincuente con la intención de atacar a la “empresa A”, si sé que su proveedor de un producto determinado es la “empresa B” y consigo completar un ataque a este proveedor, de manera que puedo suplantar creíblemente su identidad, el ataque a la “empresa A” será mucho más fácil y creíble.
Los correos electrónicos de phishing suelen enviarse a cientos o miles de destinatarios simultáneamente con poca personalización en el cuerpo del mensaje. Sin embargo, en el caso del spear phishing, los ciberdelincuentes a menudo se hacen pasar por un amigo, jefe, familiar, marca u organización conocida del interés del atacado, generando un trabajado único email, para ganarse su confianza y engañarlo para que les proporcione información o actúe según sus deseos.
En última instancia, la intención del phishing y del spear phishing es la misma: adquirir información privada con fines maliciosos. Sin embargo, debido a que los ataques de spear phishing están bien elaborados y cuentan con mensajes más personalizados, pueden ser mucho más difíciles de detectar.
Ejemplos de spear phishing
Las técnicas de spear phishing, al ser personalizadas, difieren según el tipo de finalidad que desea conseguir el atacante y a quién se dirige. Aquí hay algunos ejemplos de phishing dirigido a considerar:
Estafas de fraude de directores ejecutivos
Fraude del CEO y spear phishing
Las estafas de fraude suplantando la identidad de directores ejecutivos, a menudo conocidas como también como “fraude del CEO”, son una variante de esta estafa, que en muchas ocasiones utiliza el spear phishing. En esta ocasión los ciberdelincuentes se hacen pasar por un ejecutivo de alto nivel o alguien influyente en la cadena de producción, para lograr que un empleado con cierto poder ejecutivo cumpla con una solicitud urgente o divulgue datos importantes.
La variante denominada “caza de ballenas” o whaling es un intento de ejecutar un ataque de ingeniería social, que en muchas ocasiones hace uso del spear phishing, dirigido a un ejecutivo de alto nivel. Es decir, el objetivo del ciberdelincuente es engañar a alguien de la directiva o con un importante cargo en la organización haciendo uso de un phishing personalizado.
Por ejemplo, un falso CEO podría enviar un correo electrónico a un empleado durante un fin de semana y pedirle que complete una transferencia bancaria a un contratista, indicando que esta operación es de vital importancia para la compañía. Si el empleado completa la transferencia, podría simplemente estar transfiriendo fondos de la empresa a la cuenta establecida por el atacante.
Veamos algunos ejemplos reales de spear phishing:
Snapchat – 2016
En el vertiginoso mundo de la tecnología y la comunicación, casos de ataques virtuales a importantes empresas, como Snapchat, no son una rareza. Una histórica estafa de phishing en 2016 al popular servicio de mensajería Snapchat involucró a un empleado de recursos humanos en el juego de un impostor. Presentándose como el CEO de Snapchat, Evan Spiegel, el estafador logró solicitar información significativa sobre nómina y opciones de acciones de empleados actuales y antiguos.
FACC – 2016
Similarmente, estafadores se apuntaron a la reputada firma de fabricación aeroespacial austriaca, FACC. En un clásico movimiento de suplantación de identidad del CEO en 2016, se desencadenó una transferencia de 55,8 millones de dólares a cuentas no identificadas en el extranjero. Los efectos del ataque sacudieron presurosamente el entorno laboral de FACC, causando la destitución de varios altos cargos de la compañía, incluidos el CEO y el director financiero.
Ubiquiti Networks – 2015
Por otro lado, el mundo de las finanzas tampoco se ha salvado de estas artimañas. En 2015, la reconocida Ubiquiti Networks cayó en una engañosa trampa, cuando su filial de Hong Kong se vio convencida para mover 46,7 millones de dólares a cuentas exteriores sin relación con la empresa. A pesar de lograr recuperar 14,9 millones de dólares, los efectos negativos en su reputación ya no tenían vuelta atrás.
EMT Valencia – 2019
La antigua ejecutiva de la EMT de Valencia, Celia Zafra, fue víctima de una estafa millonaria que llevó al despilfarro de cuatro millones de euros de la entidad pública. Fue engañada por un supuesto abogado que fingió negociar un trato con China, causando su despido tras desvelarse la estafa. Mientras se buscaba y trataba de recuperar los fondos enviados a China, Zafra experimentó repercusiones legales, incluso aunque negó su culpabilidad y acusó a su proceso de ser políticamente motivado. A pesar de que fue indemnizada, el Tribunal Supremo confirmó su despido, y el Tribunal de Cuentas la declaró culpable, exigiéndole reembolsar el dinero estafado. Las acciones están en curso para determinar su responsabilidad penal y rastrear los fondos fraudulentamente transferidos.
FBI como gancho – 2008
Por último, cabe señalar uno de los primeros ejemplos documentados de estas estafas. En 2008 se desencadenó la campaña de citación del FBI. Los estafadores tenían un alto objetivo, aproximadamente 20.000 CEOs, captando con éxito a un impresionante número de 2.000. Los directivos fueron engañados para clicar un enlace malicioso que se presentaba como un complemento de seguridad de navegador; sin embargo, lo que realmente hacía era instalar un keylogger (un programa que registra las teclas que son pulsadas en el teclado de la víctima y se las envía al atacante) para registrar sus credenciales y contraseñas.
Spear Phising y Ransomware
Los correos electrónicos de spear phishing pueden ser engañosamente sofisticados, a menudo optando por enviar malware en lugar de solicitar información sensible de manera explícita. Por ejemplo, un atacante puede camuflarlo en un archivo adjunto inocente, transformando un simple correo electrónico en “una bomba” lista para secuestrar sus dispositivos y datos.
Como ya hemos visto, el spear phishing puede cubrirse con el manto de familiaridad; un ciberdelincuente podría suplantar la identidad de un amigo o pariente. Un enlace a un “vídeo divertido” puede parecer inofensivo, pero un clic es suficiente para provocar un ataque de ransomware, colocando la información de su dispositivo a disposición de los atacantes.
El ransomware es especialmente destructivo, tener tus datos secuestrados por esta forma de malware a menudo resulta en ubicar a la organización en un callejón sin salida. La descodificación de los datos puede ser casi imposible sin cumplir las demandas de rescate, y aunque se cediera, la recuperación no está garantizada. Por lo tanto, la acción anticipatoria es imperativa. Poseer una comprensión profunda de cómo el spear phishing puede contener ransomware y tomar medidas para una protección integral de ciberseguridad es esencial para navegar con seguridad en el mundo digital actual.
Consejos para protegerse de ataques de spear phishing
Aquí proponemos algunos consejos valiosos que ayudarán a evitar caer en ataques de spear phishing:
– Examinar con cautela las direcciones del emisor
Los atacantes con frecuencia se hacen pasar por personas o entidades conocidas, pero tienen dificultades para replicar su lenguaje y tono. Si notas algo raro en un correo, examina la dirección del remitente; usualmente puede haber pequeñas variaciones ortográficas, como el número «0» en lugar de la letra «o».
– Verificar los enlaces de forma previa
Si un correo tiene un enlace, mueve el cursor sobre la URL para comprobar su destino. Un ciberdelincuente puede manipular los caracteres en el enlace de forma sutil. Si te parece sospechoso o tienes dudas, abstente de hacer clic. En su lugar, dirígete directamente al sitio web por tu cuenta a través de tu buscador usual.
– Confirmar mediante otros canales de comunicación
Si te parece sospechoso que “ese amigo” o ese contacto laboral de confianza te mande un correo solicitándote información privada, podría tratarse de un atacante. Haz uso de otro medio de comunicación, como una llamada o videollamada, para confirmar si el correo es legítimo.
– Proteger la información personal
Evita compartir los datos de tu cuenta, teléfono o finanzas con alguien en línea. Y ten precaución con la información que publicas en redes sociales. Guardar en privado tu información personal puede prevenir ataques de spear phishing, ya que dificulta a los atacantes acceder a tus datos.
– Debes saber que, todo lo que publicas en internet, se escapa de tu control
Cada vez que publicas algo en redes sociales o creas una cuenta para algún fin, incluso un cuestionario, estás aportando más datos personales en la web. Antes de que te des cuenta, detalles desde tu ciudad natal hasta el nombre de tu mascota podrían estar en manos de intermediarios de datos o atacantes. Una vez que estos datos son de dominio público, aunque los borres, lo más probable es que ya no tengas control sobre quién ha podido recogerlos para hacer uso de ellos.
– Mantén tu software al día
Las actualizaciones de software frecuentemente contienen soluciones para vulnerabilidades de seguridad críticas de los dispositivos, por lo que es crucial mantener al día tanto su sistema operativo como todos sus programas y aplicaciones.
– Reconocer los indicios de spear phishing
Una de las estrategias más eficientes para protegerse del spear phishing es estar al tanto de las características comunes de estos ataques, como peticiones urgentes, mensajes no solicitados de una fuente «confiable», enlaces o archivos adjuntos que no se han pedido o solicitudes de información personal. Denuncia siempre un correo como spam o phishing si tienes sospechas.
– Manejar la situación de forma adecuada
Si piensas que por error has hecho clic en un enlace de spear phishing, desconéctate de la red de inmediato para evitar la instalación de malware. Posteriormente, cambia todas tus contraseñas desde otro dispositivo. Finalmente, realiza un análisis de malware en tu dispositivo para detectar y eliminar el posible malware.
– Reporta a quien corresponda
En cualquier caso, si sospechas que puedes ser víctima de un spear phishing, no interactúes con el correo o el atacante y reporta lo antes posible a las autoridades pertinentes. Si esto sucede en el ámbito corporativo, comunícalo inmediatamente al equipo de seguridad de tu organización.
– Previene usando segundo factor de autenticación
Recuerda que para un ciberdelincuente es mucho más complejo salirse con la suya si tienes activado el segundo factor de autenticación (2FA) allá dónde sea posible su activación.
– Contar con una solución de concienciación de última generación
Es esencial que las personas, objetivo prioritario de los ciberdelincuentes, estén debidamente concienciadas. Para ello, en el ámbito corporativo es de vital importancia contar con una solución integral que permita a los responsables de ciberseguridad asegurarse de que sus empleados conocen cuáles son las amenazas (en este caso, el spear phishing) y todo lo que implica.
Kymatio ofrece una solución de gestión de ciberriesgo de empleados, concienciación en seguridad de la información y gestión del riesgo de exposición de credenciales: apóyate en la solución más avanzada del mercado para minimizar los riesgos.
