¿Qué es spear-phishing?
Como ya sabemos, el phishing o suplantación de identidad es un tipo de engaño mediante el que un atacante suplanta una identidad determinada, conocida por su víctima potencial, con el fin de conseguir información personal o de valor. Esta es la definición general de phishing, pero existen otras muchas modalidades de ataque, cada vez más sofisticadas, que ponen en riesgo la seguridad de nuestros datos. El spear-phishing es una de ellas.
Qué es
Spear-phishing no es nada más y nada menos que un phishing dirigido a una persona, organización o empresa específica. Los objetivos de esta modalidad de phishing suelen ser comunes con el phishing, desde robar datos con fines maliciosos, pasando por la infección por malware.
¿Cómo funciona?
Normalmente, llega un correo electrónico a la víctima potencial de una aparente fuente de confianza, como en cualquier otro ataque más generalista, con el fin de conducirla a un sitio web falso, infectado de malware. Son correos electrónicos (o comunicaciones de cualquier otro tipo, no necesariamente se restringen al email) que emplean tácticas muy ingeniosas para llamar la atención de las víctimas. Pueden provenir de copias de ONGs, de supuestos centros gubernamentales y de multitud de sitios. La imaginación de los atacantes está muy desarrollada.
¿Quién está detrás de estos ataques?
En muchas ocasiones, se trata de hackers o de hacktivistas (personas que llevan a cabo actos, normalmente maliciosos, en Internet para promover ideas políticas, religiosas o sociales). Los ciberdelincuentes “usuales” hacen lo mismo con la intención de vender datos confidenciales a gobiernos o empresas privadas.
Con enfoques diseñados de manera individual (a medida, que podríamos decir), así como utilizando diferentes técnicas de ingeniería social, para personalizar los mensajes y conseguir que los sitios web sean únicos y parezcan genuinos. Todo ello, en conjunto, da como resultado que objetivos que parecen, a priori, intocables o inalcanzables (personas de alto rango dentro de las organizaciones como altos ejecutivos, CEOs, etc.) pueden encontrarse con correos electrónicos que creían seguros y que llevan “sorpresa”.
¿Cuál es su objetivo?
Adquirir tanto información sensible como nombres de usuario, contraseñas y otros datos personales. Cuando se abre un enlace en un correo electrónico de phishing, este puede llevar a un sitio malicioso que descargue información no deseada en el ordenador del usuario. En el caso de que exista un archivo adjunto y este sea abierto por el usuario, puede ejecutarse software malicioso que podría comprometer la seguridad del host. Una vez establecida la conexión, el atacante puede iniciar acciones que podrían comprometer la integridad del ordenador, la red en la que reside y los datos.
Cómo defenderse del spear-phishing
Cada día que pasa, las estafas de phishing son más sofisticadas. La tecnología está de su parte, ya que las identidades se enmascaran más fácil, los mensajes se adaptan y nunca son el mismo, y el contenido de los correos electrónicos parece legítimo. Hay muchas señales de que nos encontramos ante una estafa de phishing: saludos genéricos, solicitudes de acciones urgentes que nadie inició, solicitudes de información personal e incluso amenazas infundadas. También es notable la presencia de faltas de ortografía que, paradójicamente, sirven de filtro a la hora de seleccionar a sus víctimas: las personas que no detectan dichas faltas son más propensas a ser engañadas. O eso dicen algunos estudios, al menos.
Las herramientas antivirus suelen detectar los redireccionamientos de sitios web y la mayoría de los motores de búsqueda (Google, Bing…) alertan a los usuarios de los sitios web problemáticos y suelen bloquear el acceso a los que contienen malware.
¿Qué medidas podemos tomar?
Por la parte de los usuarios, algunas de las medidas más sencillas que podemos proponer para protegernos de los ciberataques de phishing y malware son:
- Evitar los sitios web que generen alertas y para los que se desaconseja el acceso. A veces, tendemos a ignorar las advertencias por motivos irracionales
- No abrir nunca adjuntos de correo electrónico ni enlaces que provengan de remitentes desconocidos
- Utilizar una contraseña segura y, aún más importante, actualizarla periódicamente
La realidad es que nadie está libre de riesgo a la hora de enfrentarse a un caso de spear-phishing. Dada la naturaleza de este tipo de ataque, un despiste, un exceso de confianza o simplemente con bajar la guardia hace que se consiga el objetivo: infectar el sistema de la víctima, robar sus credenciales y datos… o servir de puente hacia otro objetivo mayor.