¿Qué es el spear phishing?

¿Qué es el spear phishing?

Ya sea que confíes en el correo electrónico para tus negocios o que simplemente lo utilices ocasionalmente para uso personal, es importante ser cauteloso con las estafas que los ciberdelincuentes utilizan para intentar robar algo. Entre las estafas más populares está el phishing, en el que los ladrones establecen lo que puede considerarse una trampa virtual utilizando el correo electrónico. Como su nombre indica, los ladrones ponen un cebo a las víctimas como un pescador podría poner un cebo a su pez.

Spear Phishing vs. Phishing

Phishing es el término más amplio para cualquier tipo de estafa de ingeniería social que intenta engañar a las víctimas para que compartan lo que sea que los autores buscan: contraseñas, nombres de usuario, números de identificación, etc. Aunque hay un puñado de estrategias de phishing clasificadas, el tipo más común de ataque de phishing es lo que los expertos llaman «spear phishing».

Los ataques de phishing con engaño se dirigen a individuos específicos, mientras que los ataques de phishing en general suelen enviarse a masas de correos electrónicos simultáneamente con la esperanza de que alguien muerda el anzuelo. En el caso del spear phishing, los ladrones suelen dirigirse a grupos selectos de personas que tienen una cosa en común. Tal vez todos trabajen en la misma empresa. Tal vez todos son estudiantes de la misma universidad. O tal vez todos usan el mismo banco local. Lo que sea que busquen, lo hacen porque funciona. Las técnicas de phishing se usan en el 91% de los ataques.

Lo que sabes y a quién conoces

Esta información interna puede ser un alias de correo electrónico de toda la empresa u otra información interna que podría ayudar a convencer a los objetivos de la legitimidad de los correos electrónicos. O para ataques más específicos, el cibercriminal puede estudiar los hábitos o el entorno de su objetivo.

Un enfoque popular es que los individuos reciben correos electrónicos de alguien en quien confían, como un asistente personal o el gerente de TI de la empresa. El correo electrónico se verá casi idéntico a lo que el objetivo está acostumbrado a recibir de esa persona. Es probable que tenga todos los logotipos y nombres relevantes adjuntos. Este correo electrónico convence a la víctima de que haga clic en un enlace para restablecer una contraseña. Al abrir el enlace, la víctima es dirigida a un sitio web donde se le pide que introduzca el nombre de usuario y la contraseña actuales. Y así como así, el phisher  ha comprometido la información de acceso del usuario o cualquier otra cosa que le hayan pedido a la víctima que proporcione.

Evitar el alcance

El phishing constituye la mayoría de los ataques, en parte porque la recompensa final es clara. Estos delincuentes suelen buscar información o acceso que puede conducir a una ganancia financiera – ya sea inmediata o a largo plazo – o información interna valiosa. En 2016, el robo de identidad y el fraude costaron a los consumidores más de 16.000 millones de dólares. Aunque los intentos de «spear phishing» no fueron los responsables de todo el botín, está claro que hay mucho en juego.

Desafortunadamente, cualquiera que use el correo electrónico puede caer en una estafa de «spear phishing». Si eres uno de los desafortunados que muerde el anzuelo del estafador, estos son los siguientes pasos que puedes dar:

Mientras que las medidas de seguridad tradicionales ayudan con muchas de las amenazas dirigidas a los usuarios de computadoras, el aspecto de ingeniería social del spear phishing lo hace uno de los más difíciles de detectar.

Para evitar los ataques de «spear phishing», es importante prestar atención cuando se abren los correos electrónicos. Si un correo electrónico alguna vez pide información personal – sin importar de quién provenga – un poco de precaución puede ayudar mucho a mantener tus datos seguros. Cuando parezca que una fuente normalmente confiable pide algo como un número de seguro social o  contraseña, hay que estar atento a los errores de ortografía, a los enlaces que llevan a diferentes URL y a las sutiles amenazas de perder tu acceso. En caso de duda, ponte en contacto con el remitente o la empresa a través de diferentes medios para verificar la solicitud.