Imagina que formas parte del equipo financiero de una gran empresa y recibes en tu correo electrónico una instrucción urgente, supuestamente enviada por el director financiero, solicitando una transferencia a la cuenta de un proveedor desconocido. O que, de repente, llega un mensaje de texto de un amigo recomendando visitar una página web que, en realidad, esconde un enlace malicioso y está diseñada para robar datos personales. Ambos son ejemplos cotidianos de situaciones que, en realidad, esconden una trampa: el spear phishing.
Esta modalidad de fraude digital representa una versión avanzada y personalizada del phishing tradicional. A diferencia de los ataques masivos, el spear phishing se dirige a personas u organizaciones concretas, utilizando información relevante para dar credibilidad al engaño. Así lo describe el Instituto Nacional de Ciberseguridad (INCIBE): “El spear phishing es un tipo de ciberataque que se caracteriza por ser altamente personalizado”.
A continuación, te contamos cómo operan los ciberdelincuentes y qué señales permiten identificar este tipo de estafa para evitar caer en la trampa.
Diferencias entre phishing y spear phishing
Casi todo el mundo conoce qué es el phishing. Sin embargo, mucha gente nunca ha escuchado hablar del spear phishing. Este fraude, destacan desde Banco Santander, “está concebido para atacar a personas u organizaciones concretas mediante el envío de correos electrónicos maliciosos”. El objetivo suele ser obtener información sensible o confidencial, como, por ejemplo, credenciales de inicio de sesión, o infectar con algún tipo de malware los dispositivos de la víctima.
A diferencia del método tradicional que utilizan los ciberdelincuentes, el phishing, donde se envía de forma masiva un mensaje, por lo que el contenido que se recibe es genérico, “el spear phishing se enfoca en individuos muy concretos y el mensaje ha sido personalizado”, apostillan desde INCIBE. Para ello, previamente, resaltan desde el Banco de España (BdE), “los ciberdelincuentes han conseguido información de los usuarios disponible en Internet”, lo que le permite personalizar mucho más los mensajes.
Esos detalles específicos logran que el mensaje parezca ser más legítimo, aumentando así la probabilidad de que el destinatario haga clic en algún vínculo o que descargue los archivos adjuntos maliciosos.
¿En qué consiste el spear phishing?
En este tipo de fraudes, los ciberdelincuentes actúan de manera personalizada para maximizar sus posibilidades de éxito. Para ello, seleccionan y estudian su objetivo, que puede ser un individuo o una organización.
Como se puede observar, el spear phishing requiere un esfuerzo significativo, por lo que los ciberdelincuentes se enfocan en objetivos de alto valor, como pueden ser empleados con acceso a información confidencial, tales como directivos, personal de recursos humanos. No obstante, cualquier usuario puede ser víctima de un ataque de estas características “si el ciberdelincuente considera que su información puede tener valor”, agregan desde INCIBE.
Una vez que tienen claro su objetivo, investigan a la víctima. “A través de Internet, las filtraciones de datos y las redes sociales principalmente”, explican desde INCIBE. Sin embargo, los ataques más sofisticados “también pueden usar técnicas de machine learning para detectar y obtener información sobre los objetivos deseados, o incluso técnicas de Inteligencia Artificial para suplantar la imagen o voz de una persona”, resaltan desde Banco Santander.
Toda esa información, les permite crear un mensaje ad hoc, que se ajusta al perfil de la víctima, aumentando las probabilidades de captar su atención y, por tanto, de estafa.
Pistas para detectar el spear phishing
La personalización de la comunicación es lo que hace que este ataque sea más peligroso que otros, puesto que es más difícil de detectar. Por ello, conocer las señales de spear phishing, puede ayudar: revisar que el correo es legítimo, dudar si el mensaje solicita que la acción se realice de manera urgente, observar si el texto contiene errores ortográficos y gramaticales o contiene archivos no solicitados o que no son pertinentes. En resumen, “desconfía de cualquier mensaje inesperado con una sensación de urgencia, incluso si el remitente parece saber quién eres”, señalan desde la National Cybersecurity Alliance.
Además, es importante tomar medidas de seguridad como las que se enumeran desde INCIBE:
- Verifica URLs y evita hacer clic directamente en los enlaces de correos electrónicos.
- Mantén el software actualizado para evitar que se exploten posibles vulnerabilidades de tu dispositivo tras la descarga o ejecución de un fichero.
- Utiliza contraseñas robustas y únicas.
- En caso de dudas, no accedas a las peticiones. Contrasta la información directamente con la persona o empresa que supuestamente te está contactando a través de otras vías.
- Limita la información que compartes en línea: revisa la configuración de privacidad en tus redes sociales y comparte solo la información necesaria.
- Desconfía de solicitudes inesperadas: verifica la autenticidad de mensajes o correos antes de responder. Más aún, si supone facilitar datos personales, bancarios o cualquier otra información confidencial.
Fuentes
Instituto Nacional de Ciberseguridad (INCIBE)
Banco de España (BdE)