CUIDADO CON TUS DATOS PERSONALES

¿Qué es el Spear Pishing? La nueva modalidad de estafa que podría arruinarte la vida

Una nueva ciberestafa está en boca de todos, esta estafa es a través de correo electrónico o redes sociales y está dirigida a personas, organizaciones o empresas específicas con información concreta previamente recolectada

Créditos: Getty Images
Escrito en TENDENCIAS el

La web está llena de muchos ciberataques, ahora se habla del spear phishing, que como el phishing tradicional, consiste en estafas que intentan engañar al destinatario para que facilite información confidencial, como las credenciales de sus cuentas. 

Los phishers con lanza se hacen pasar por entidades conocidas o confiables para engañar a las víctimas para que proporcionen información confidencial, envíen dinero o descarguen malware peligroso. Al igual que otros ataques de ingeniería social, el phishing selectivo explota las tendencias de las personas para ayudar o responder a tácticas que inducen miedo

¿Qué es el Spear phishing?

En este tipo de ataques, los ciberdelincuentes pueden conseguir que, mediante enlaces o archivos adjuntos, la víctima descargue malware sin saberlo y dé acceso a su sistema informático y a su información confidencial.

Simplemente el hecho de compartir datos en redes sociales, como nuestros intereses o localización, nos puede hacer vulnerables a estas amenazas.

¿Qué diferencias tiene con los ataques de phishing clásicos?

En el phishing estándar, el atacante puede hacerse pasar por una marca conocida y crear un contenido que parezca verídico, pero no incluirá el nombre del destinatario ni lo personalizará de ninguna manera. 

En ese caso solo hace falta una lista de direcciones. Los atacantes saben que algunos mensajes serán bloqueados por filtros de ciberseguridad, y que otros serán identificados y eliminados inmediatamente por los usuarios. Pero también saben que, de los miles de destinatarios, habrá decenas con los que el ataque será efectivo.

Mensajes personalizados

Sin embargo, el spear phishing tiene un carácter mucho más selectivo. Aunque ambos intentan engañar a los usuarios para que compartan información confidencial, este requiere mucho más esfuerzo por parte del atacante.

Los mensajes de spear phishing son personalizados por el estafador, basándose en información pública que haya encontrado sobre el destinatario. 

Los estafadores usan cualquier dato publicado en las redes sociales para hacerse pasar por alguien conocido por la víctima, puede incluir su experiencia laboral, su lugar de trabajo, su puesto actual, sus intereses, dónde vive, etc. Estos detalles específicos hacen que el correo electrónico parezca legítimo o incluso que parezca provenir de alguien de confianza, lo que aumenta las posibilidades de que el destinatario haga clic en enlaces o descargue archivos adjuntos.

¿Cómo es una campaña de spear phishing?

Mientras que el phishing clásico puede ser eficaz para pequeños pagos, el enfoque específico del spear phishing permite obtener beneficios a mayor escala. Por este motivo, normalmente se dirige a usuarios con accesos privilegiados, como pueden ser los altos cargos de una empresa.

Un ataque de este tipo empezaría con una investigación previa. Primero, el atacante recopilará direcciones de email de los empleados e investigará organigramas, que encontrará en LinkedIn o en la web de la empresa, para comprender mejor el funcionamiento de la organización.

Con esta información, elaborará un mensaje a medida, convenciendo a la víctima de que envíe dinero, descargue malware o comparta sus credenciales.

¿Cómo evitar caer en una trampa del spear phishing?

Los mejores consejos para evitar caer en las tácticas de spear phishing son:

  • No hacer clic en los enlaces de emails; en su lugar, acceder a la web directamente desde el navegador.
  • Desconfiar de cualquier mensaje que requiera una respuesta urgente y una transacción financiera.
  • Asegurarse de que el mensaje procede de un remitente legítimo.
  • No facilitar credenciales en ningún mensaje o llamada telefónica.