Los ataques de phishing son una ocurrencia habitual en Internet, quien más, quien menos recibe casi diariamente un email con este intento de ataque, que si no es desviado por el propio servidor de correo a la carpeta de «no deseados», es enviado a la papelera por el usuario. Sin embargo, existe un tipo de ataque phishing más dirigido y con más índice de éxito. Hablamos del spear phishing.
En este artículo veremos qué es el spear phishing, cómo se lleva a cabo y cómo podemos evitar ser víctimas del mismo.
En este artículo hablamos de:
¿Qué es spear phishing?
Si el phishing es un ataque basado en enviar correos masivos que supuestamente provienen de un remitente real (como un banco, una plataforma de streaming, una tienda online, una empresa, etc.) y conseguir que la víctima haga clic en los enlaces incluidos en el email o que descargue sus archivos adjuntos, para conseguir sus datos o infectar con malware su equipo. El spear phishing es una variante de este tipo de ciberataque.
Así, una posible definición de spear phishing la tenemos en que se trata de un ataque dirigido a un objetivo en concreto, normalmente una empresa u organización, pero a veces también personas concretas. Emplea el mismo método del email, pero esta vez sin recurrir a envíos masivos, sino que se centra en unas pocas direcciones concretas relacionadas con su objetivo. Su significado proviene de la palabra inglesa «spear», que significa «lanza».
Cómo actúa el Spear Phishing
Un ataque de spear phishing se lleva a cabo a través del envío de un correo electrónico fraudulento, donde el phisher se hace pasar por otra persona o entidad real. Pero se trata de un ataque mucho más elaborado, puesto que el contenido del email estará personalizado para tener un mayor efecto en la víctima o víctimas.
Un ataque de Spear Phishing sigue varias fases
En la primera de ellas el ciberdelincuente elige a su objetivo que, como hemos dicho, suele ser una empresa u organización, incluso un organismo público.
En la siguiente fase el phisher analizará a su objetivo, recopilando toda la información sobre el mismo o sobre varios miembros de la organización que crea más propensos a caer en la trampa. Para ello se servirá de las redes sociales, listas de correo que haya podido conseguir, otras plataformas o servicios que puedan usar, etc. Se trata de recopilar toda la información posible para personalizar más el ataque.
La fase final es crear los correos falsos, personalizando su contenido, y enviarlos a las víctimas. Estos correos cuentan con los datos suficientes como para que algunas de las víctimas que los reciban los crean legítimos y acaben pinchando en los enlaces que incluyen y llevan a páginas web falsas o descargando un archivo adjunto. En el momento en que llevan a cabo una de esas acciones, el ataque se ejecutará completamente.
Fases de un ataque spear phishing
Eso puede significar diferentes consecuencias en función del tipo de objetivo que el phisher tenga planeado.
Por ejemplo, puede descargarse un malware destinado a secuestrar los equipos conectados a la red de la organización, bloqueándolos hasta recibir un pago en concepto de rescate (ransomware). O puede dejar abierto el camino para que el phisher cree una brecha de seguridad y logre acceder a información confidencial de la organización o a la base de datos de sus clientes.
Como podéis deducir, un ataque de spear phishing implica más tiempo y esfuerzo, pero también es cierto que tiene más éxito que un ataque de phishing convencional, precisamente porque los datos que usan en el email fraudulento son reales y eso hace que la víctima sea menos cuidadosa con enlaces y adjuntos.
Ejemplos de spear phishing
Para ilustrar cómo funciona el spear phishing vamos a ver algunos ejemplos.
Un ataque de spear phishing muy habitual en empresas es el llamado phishing del CEO. Este ataque se dirige contra algunos empleados de la empresa con el fin de conseguir acceso a la red interna o a datos e información sensible. Para ello, el phisher se hará pasar por el CEO de la compañía, suplantando su identidad mediante un correo electrónico que será muy parecido al del CEO real. Evidentemente, el phisher se ha preparado bien, utiliza el nombre del CEO en cuestión y construye el contenido del email de manera creíble, sirviéndose de la información que ha recopilado previamente sobre la empresa, sus departamentos y empleados.
Al final el objetivo es el mismo, lograr que las víctimas pulsen en enlaces que les lleven a páginas web falsas o descarguen un archivo adjunto, para dar entrada a malware en sus equipos o conseguir credenciales de usuario.
Siguiendo un poco en esta línea del CEO, tenemos el whaling, un tipo de ataque de spear phishing, pero dirigido esta vez a altos cargos de la empresa. La metodología es la misma que hemos visto antes, salvo que en esta ocasión, el objetivo es un alto cargo de la empresa y, por tanto, las consecuencias si el ataque tiene éxito pueden ser mucho más graves.
Y un ejemplo real de spear phishing; en 2015 la Electronic Frontier Foundation (EFF), una organización sin ánimo de lucro con el objetivo de defender los derechos de libertad de expresión en la era digital, fue usada para crear una página web falsa, electronicfrontierfoundation.org. Al entrar en este sitio, se descargaban al ordenador de las víctimas keyloggers y otros malwares. La propia EFF detectó el ataque y lo calificaron de spear phishing, aunque nunca tuvieron claro quiénes habían sido los objetivos, y se hicieron con el control del dominio, en el que ahora se puede leer cómo se llevó a cabo el ataque.
¿Cómo podemos evitar ser víctima de un ataque de Spear Phishing?
Como usuarios, estamos más prevenidos sobre los ataques de phishing, hemos aprendido a reconocerlos con el tiempo y cada vez es menos probable que mucha gente caiga víctima de estos ataques. Sin embargo, estamos mucho menos atentos a detectar ataques de spear phishing, que son mucho más sofisticados y están mucho más trabajados. Pero esto no quiere decir que no sean evitables.
Lo primero que se debe hacer, especialmente en empresas u organizaciones, es formar y capacitar a toda la plantilla en materia de ciberseguridad, enseñar todos los tipos de ataques que se pueden recibir, qué metodología siguen y cómo reconocerlos. Si los empleados conocen cómo funciona el spear phishing, será más fácil que detecten este tipo de ataque y no caigan en sus trampas.
Es recomendable también instalar soluciones de seguridad que eviten que los emails fraudulentos lleguen a la bandeja de entrada de los usuarios. Muchos servidores de correo electrónico detectan ya emails falsos, se trata de ir un paso más allá e instalar una capa extra de seguridad.
Tener cuidado con la información personal que compartimos en redes sociales u otras plataformas de Internet. Los phishers que llevan a cabo este tipo de ataques recopilan toda la información posible para personalizarlos y hacernos creer que son auténticos, así que procuremos no publicar información relativa a nuestro trabajo, por ejemplo.
Hemos dicho que los ciberdelicuentes emplean direcciones de email muy similares a las auténticas en este ataque, por ello, siempre debemos comprobar la dirección del remitente, especialmente si el correo que hemos recibido no lo esperábamos, resulta mínimamente sospechoso o contiene instrucciones que nos indiquen que pulsemos en un enlace, facilitemos datos personales o cuentas de usuario o nos descarguemos algún archivo adjunto. Si nos fijamos en la dirección de correo del remitente y la comparamos con otro legítimo, podremos ver que son diferentes.
Si aún te quedan dudas ante un posible correo fraudulento, lo más recomendable es preguntar directamente a la persona o entidad que te lo ha enviado, pero ojo, no respondiendo al email que crees que puede ser falso, sino desde un nuevo email, introduciendo tú la dirección de correo del supuesto remitente o incluso llamándole por teléfono. Así podrás asegurarte de si realmente te ha escrito ese email.
En definitiva, como con cualquier ciberamenaza, la mejor defensa en este caso es la precaución y la desconfianza.
Spear phishing vs. phishing: Diferencias y similitudes
Como ya hemos visto a lo largo de este artículo, la principal diferencia entre un ataque de spear phishing y un ataque de phishing reside en el objetivo y la personalización del contenido; mientras en el primero, se envían unos pocos correos concretos personalizados con datos reales de la víctima y sus circunstancias, en el segundo se envían correos masivos, muchas veces traducidos literalmente de otro idioma y con un contenido genérico. Es la diferencia entre «Estimado cliente» y «Estimado (nombre de la víctima).
Ambos ataques emplean el correo electrónico como medio para llegar a sus víctimas, pero a diferencia del ataque de phishing, que está mucho menos elaborado, en el spear phishing el phisher dedica bastante tiempo a reunir información de su objetivo y elaborar un contenido cuidado y realista basado en ella.
Los intentos de phishing se dirigen a todo tipo de personas, mientras que el spear phishing está más dirigido a empresas u organizaciones, siendo los objetivos empleados de las mismas.
Finalmente, en ambos casos, la intención del ataque es, generalmente, conseguir dinero de las víctimas (aunque también hay casos de hackers que llevan a cabo ataques sobre empresas y organizaciones para mostrar las vulnerabilidades de sus sistemas y no por un motivo económico). Si bien, algunos ataques de spear phishing tienen como objetivos organismos e instituciones públicas, a las que pueden bloquear mediante ransomware.