El phishing adopta muchas formas diferentes, pero el phishing con arpón es posiblemente el tipo de ataque de phishing más peligroso y el más difícil de detectar.

Tradicional Los ataques de phishing tienden a operar de forma dispersa, a menudo se hacen pasar por una empresa de confianza y se dirigen a masas de personas al mismo tiempo. Por el contrario, el spear phishing es altamente personalizado y selectivo.

La elaboración cuidadosa de un ataque de spear phishing requiere mucha reflexión e investigación. Los atacantes intentarán obtener toda la información personal que puedan sobre su víctima para que los correos electrónicos parezcan lo más auténticos posible.

Con el fin de crear una sensación de familiaridad, los spear phishers a menudo rastrearán los sitios de medios sociales y motores de búsqueda para construir una mejor imagen de su víctima. Una vez que hayan obtenido toda la información que necesitan, los atacantes tratarán de hacerse pasar por un amigo o colega de confianza y, a continuación, intentarán obtener información sensible a través de un correo electrónico.

Un ejemplo de ello podría ser un empleado desprevenido que recibe un correo electrónico de RRHH informándole sobre un nuevo plan de pensiones que la empresa está implantando. Hacen clic en el archivo adjunto y, sin darse cuenta, han desatado un virus que podría poner de rodillas a la empresa.

Puede sonar descabellado, pero éste es exactamente el tipo de ataque de phishing dirigido al que se ven sometidas a diario empresas de todo el mundo.

Según la última edición del Informe de Symantec sobre las amenazas a la seguridad en Internet, los correos electrónicos de phishing selectivo se convirtieron en el método de ataque más utilizado, empleado por el 71 % de los grupos delictivos cibernéticos de todo el mundo.

El spear phishing tiene el potencial de reportar enormes beneficios a los ciberdelincuentes. En junio de 2015, la empresa tecnológica Ubiquiti Networks, perdió más de 40 millones de dólares en un ataque de spear phishing dirigido, y en los últimos cinco años, el  El grupo de ciberdelincuentes Carbanak ha conseguido robar más de 1.000 millones de dólares a bancos de todo el mundo introduciendo malware a través de un correo electrónico de phishing selectivo.

El duro trabajo invertido en la búsqueda de objetivos potenciales merece la pena si los estafadores consiguen obtener los beneficios que obtienen actualmente. Los ataques de spear phishing son extremadamente difíciles de detectar y requieren una vigilancia cada vez mayor por parte del personal para asegurarse de no ser víctimas.

Técnicas antiphishing para prevenir los ataques de spear phishing

No comparta demasiado en las redes sociales

Phishing con arpón

El crecimiento masivo de las redes sociales ha facilitado enormemente que un estafador submarino haga un perfil de su víctima y obtenga mucha información personal que pueda utilizar en un ataque. Con una simple exploración en línea, los ciberdelincuentes pueden averiguar su cargo, dónde trabaja, su dirección de correo electrónico, los eventos a los que ha asistido y mucha otra información valiosa que pueden utilizar para que su estafa parezca lo más convincente posible. Debería comprobar y ajustar regularmente su configuración de privacidad para restringir lo que la gente puede y no puede ver en sus perfiles de las redes sociales.

Cuestione cualquier solicitud de información confidencial

Cuestione cualquier solicitud de información confidencial

Si recibe una solicitud de un colega para que le envíe información confidencial por correo electrónico, no acceda automáticamente a la petición. Una táctica habitual utilizada por los spear phishers consiste en obtener una lista de altos ejecutivos de una empresa y enviarles después correos electrónicos haciéndose pasar por ellos para engañar al personal y conseguir que revelen información confidencial. Si recibe un correo electrónico de la nada pidiéndole información como contraseñas, datos bancarios de la empresa o archivos confidenciales, debe cuestionar siempre la petición, venga de quien venga, y consultar personalmente con el remitente para confirmar que es legítima.

No haga clic en los enlaces de los correos electrónicos

No haga clic en los enlaces de los correos electrónicos

Los ataques de spear phishing siempre tendrán un gancho convincente para incitar al usuario a hacer clic en el enlace, y si el correo electrónico procede de una fuente de confianza, parecerá aún más creíble. Deténgase siempre y piense antes de tomar una decisión precipitada. Pase el ratón por encima del enlace para ver la URL de destino, y si algo no le parece correcto, no haga clic.

Utilice contraseñas inteligentes

Los piratas informáticos más sofisticados adivinarán las contraseñas y utilizarán software especializado para probar miles de posibles combinaciones de nombre de usuario y contraseña. Para reducir sus posibilidades de éxito, es vital utilizar  contraseñas complejas. Una de las mejores formas de hacerlo es crear una frase de contraseña que sea única para usted. Las frases de contraseña son más largas, complejas y fáciles de recordar que las contraseñas tradicionales. Una frase de contraseña es una combinación de palabras, letras, números, espacios y signos de puntuación. La primera letra de cada palabra formará la base de su contraseña, y las letras pueden sustituirse por símbolos y números para hacerla más difícil de descifrar.

Formación periódica en ciberseguridad

Formación periódica en ciberseguridad

Para garantizar que las organizaciones estén protegidas frente a los ataques de phishing selectivo, es vital que el personal reciba periódicamente Formación de concienciación sobre ciberseguridad. Los ataques de spear phishing suelen ser mucho más difíciles de detectar que un ataque de phishing normal. Para asegurarse de que el personal está equipado para hacer frente a estas amenazas cambiantes, debe recibir formación periódica sobre cómo identificar un ataque y familiarizarse con los diferentes métodos que pueden utilizarse para manipularles y hacerles revelar información confidencial.

Actualice el software con regularidad

Los investigadores de seguridad actualizan continuamente sus antivirus y software de seguridad para hacer frente a los ataques más recientes y parchear cualquier vulnerabilidad que se haya detectado. Estas vulnerabilidades suelen ser aprovechadas por los piratas informáticos para robar datos confidenciales, bloquear a los usuarios o exigir un rescate. Las actualizaciones periódicas del software le garantizarán que dispone de las versiones más actualizadas publicadas por el fabricante, reduciendo así sus posibilidades de sufrir un ataque.

Utilice la autenticación multifactor

Añadir una capa adicional de autenticación hará mucho más difícil que un atacante acceda a los datos sensibles de la empresa. La autenticación multifactor se utiliza para verificar la identidad de un usuario cuando accede a una aplicación. Además de una contraseña, la autenticación multifactor requiere una segunda o tercera pieza de información para confirmar la identidad del usuario. Esto hace que sea mucho más difícil para un spear phisher comprometer una cuenta y obtener acceso a información sensible.

Para obtener más información sobre el phishing y las diferentes formas que adopta, consulte nuestro Guía definitiva sobre el phishing. A pesar de la creciente sofisticación de los ataques de phishing, existen varias formas de protegerse en Internet.  MetaPhish ha sido diseñado específicamente para proteger a las empresas de los ataques de phishing y ransomware y constituye la primera línea de defensa en la lucha contra la ciberdelincuencia. Póngase en contacto para obtener más información sobre cómo podemos  ayudar a su negocio.