Virus, gusanos, troyanos, malware, ransomware, rootkit, spyware, adware… La ciberdelincuencia no conoce límites y las formas en que pueden atacarnos son muchas y variadas. Una muy popular que seguro te suena es el phishing, pero… ¿sabes qué es el spear phishing?
Se trata de una modalidad más “personal” del phishing, una práctica en la que puede ser más fácil caer tanto por parte de individuos particulares como empresas por sus características más “refinadas”. Pero vamos a ver qué es y cómo protegernos.
¿Qué es el spear phishing?
Tal y como habéis visto en el vídeo de arriba del Instituto Nacional de Ciberseguridad (y cuentan en nuestro blog hermano sobre empresas), la definición del spear phishing sería que es una estafa de correo electrónico u otro tipo de mensajería dirigida a personas, organizaciones o empresas específicas que tiene la particularidad de ser un ataque más personalizado.
Para ello, el atacante realiza una recopilación de información previa sobre el objetivo deseado para poder personalizar el fraude lo más posible y hacerlo más creíble. Así, en lugar de enviar emails a un gran grupo de personas suplantando una identidad (por ejemplo como en este caso que sufrió Orange) el hacker se dirige a un selecto grupo de ellas o, incluso, a una única persona.
De esta manera, al haber limitado el número de posibles víctimas a los que se dirige, tiene la posibilidad de incluir información personal en el mensaje gancho; por ejemplo el nombre de la persona a la que va dirigido y también su puesto de trabajo.
Esto hace que el correo malicioso parezca mucho más creíble y pueda dar lugar al robo de datos. Porque en esto no se diferencia del phishing convencional: el “botín” buscado es robar datos para fines maliciosos.
Y es que, tal y como ya os contamos, el propósito principal del phishing es robar información para distintos fines. Puede ser desde simplemente enviarnos publicidad sin consentimiento a que vendan nuestros datos personales a terceros. Pero también pueden infectar nuestros dispositivos con algún tipo de malware.
Incluso, en los casos más graves, podrían usar nuestra información para suplantar nuestra identidad y estafar a otras personas o, incluso, directamente puede que nos roben dinero si han conseguido la información de acceso a nuestra cuenta bancaria o tarjetas de crédito.
¿Cuál es la diferencia entre phishing y spear phishing?
La diferencia entre estos dos tipos de ciberataque ya la hemos apuntado arriba pero, según cuenta el INCIBE, podemos decir que el spear phishing es una modalidad de phishing “dirigida contra un objetivo específico, en el que los atacantes intentan, mediante un correo electrónico, conseguir información confidencial de la víctima”.
Es decir, mientras que los ataques de phishing se caracterizan por ser masivos, ya que se envían mensajes a un gran número de destinatarios, en el spear phishing los correos son mucho más limitados.
Esto permite que el contenido del mensaje que se envía a las posibles víctimas sea mucho más personalizado, en vez del contenido más genérico que se da en el phishing. Para ello, los ciberdelincuentes realizan una estrategia previa centrándose en un usuario(s) concreto(s) de los que recopilan datos durante un determinado periodo de tiempo.
Analizan sus redes sociales y otean en foros, blogs y otros medios digitales buscando información de sus posibles afectados. Por supuesto esto es más complejo de ejecutar para los hackers, pero a cambio, claro está, este tipo de ingeniería social provoca una mayor tasa de éxito, ya que las víctimas son engañadas con mayor facilidad.
Por otro lado, conviene saber que tanto el phishing como la modalidad spear phishing hacen referencia a ataques que se realizan mediante mensajes de correo (ya sea el email o el correo de otras aplicaciones). Si los mensajes fraudulentos llegan a través de llamadas el ciberataque se denomina vishing mientras que si se usan mensajes de texto sería smishing.
También que existe una modalidad del spear phishing llamada whaling, que se dirige a altos cargos de las empresas. Estos pueden ser, por ejemplo, directores generales, de operaciones o presidentes de grandes compañías y los hackers emplean tácticas muy sofisticadas que ya entran dentro de lo que se denominan amenaza persistente avanzada.
¿Cómo protegerse del spear phishing?
Como modalidad de phishing que es, las claves para evitar un posible fraude son las mismas y pasan por ser muy precavidos y tomar una serie de medidas:
- Lo primero es identificar al remitente y no confiarse porque el nombre te resulte familiar (es fácil falsearlo). Para saber si el remitente es quien dice ser fíjate en el dominio que aparece tras la arroba si es un email o, si se trata de un enlace, en la URL completa.
- Fíjate si la web a la que enlazan es segura y cuenta con certificado de seguridad (el icono del candado a la izquierda de la URL) o si comienza con “https://” en vez de “http://”, lo que significa que cumple los protocolos básicos de seguridad.
- Aun así, a la hora de acceder a un enlace es mejor entrar de forma manual, directamente en la página de la que supuestamente parte la petición, pero nunca pinchando en los enlaces del correo que hayamos recibido.
- Un buen antivirus nos puede ayudar a reconocer el phishing y bloquearlo siempre que esté convenientemente actualizado e incluya rastreo de nuestra actividad por Internet.
- Desconfía de cualquier mensaje que te solicite algún tipo de información sensible. Por supuesto de cualquiera que nos diga que hemos ganado un premio y debemos proporcionar determinados datos privados, o desde luego de quienes nos soliciten el PIN de nuestra tarjeta de crédito o las claves de acceso online a nuestro banco.
- En otros casos, utiliza el sentido común y no proporciones ninguna clase de información personal si no estás totalmente seguro de la procedencia del mensaje. Para ello, ponte en contacto directo con la fuente, ya sea la compañía que te suministra la luz o un conocido que te ha enviado, supuestamente, un mensaje pidiéndote algún tipo de datos.
Por lo demás, para estar protegido contra el spear phishing y otros ciberataques no ésta de más echar un vistazo a otros consejos de ciberseguridad. Como usar autenticación en dos pasos, saber cómo pueden hackearte el móvil o leer la Guía de Ciberataques el INCIBE pone a disposición de todos.
Imágenes | Fotos de Adobe Stock, master1305, rawpixel.com, methodshop y pikisuperstar
