El phishing se presenta en muchas formas diferentes, pero el spear phishing es posiblemente el tipo más peligroso de ataque de phishing y el más difícil de detectar.
Los ataques de phishing tradicionales tienden a operar con un enfoque de dispersión, a menudo se hacen pasar por una empresa de confianza y se dirigen a un gran número de personas al mismo tiempo. En cambio, el spear phishing es altamente personalizado y dirigido.
Los atacantes intentarán obtener toda la información personal posible sobre la víctima para que los correos electrónicos parezcan auténticos. Los atacantes tratarán de obtener toda la información personal que puedan sobre su víctima para que los correos electrónicos parezcan lo más auténticos posible.
Con el fin de crear una sensación de familiaridad, los phishers submarinos suelen rastrear los sitios de redes sociales y los motores de búsqueda para construir una mejor imagen de su víctima. Una vez que han obtenido toda la información que necesitan, los atacantes intentarán hacerse pasar por un amigo o colega de confianza, y luego intentarán adquirir información sensible a través de un correo electrónico.
Un ejemplo de esto podría ser un empleado desprevenido que recibe un correo electrónico de Recursos Humanos informándole sobre un nuevo plan de pensiones que la empresa está implementando. Hace clic en el archivo adjunto y, sin darse cuenta, desencadena un virus que podría poner a la empresa de rodillas.
Esto puede parecer exagerado, pero es exactamente el tipo de ataque de phishing selectivo al que se ven sometidas las empresas de todo el mundo a diario.
Según la última edición del Informe sobre las amenazas a la seguridad en Internet de Symantec, los correos electrónicos de phishing selectivo se han convertido en el método de ataque más utilizado, por el 71% de los grupos de ciberdelincuentes de todo el mundo.
El spear phishing tiene el potencial de generar enormes beneficios para los ciberdelincuentes. En junio de 2015, la empresa tecnológica Ubiquiti Networks perdió más de 40 millones de dólares en un ataque de spear phishing dirigido, y en los últimos cinco años, el grupo de ciberdelincuentes Carbanak ha conseguido robar más de mil millones de dólares de bancos de todo el mundo introduciendo malware a través de un correo electrónico de spear phishing.
El duro trabajo de búsqueda de posibles objetivos merece la pena si los delincuentes consiguen obtener los beneficios que están obteniendo. Los ataques de spear phishing son extremadamente difíciles de detectar y requieren una vigilancia cada vez mayor por parte del personal para asegurarse de no ser víctima.
Técnicas contra el phishing para evitar los ataques de spear phishing
No compartas demasiado en las redes sociales
El crecimiento masivo de las redes sociales ha facilitado mucho a los autores de phishing selectivo la elaboración de perfiles de sus víctimas y la obtención de mucha información personal que puede ser utilizada en un ataque. Con un simple escaneo en línea, los delincuentes pueden averiguar su cargo, su lugar de trabajo, su dirección de correo electrónico, los eventos a los que ha asistido y mucha otra información valiosa que pueden utilizar para que su estafa parezca lo más convincente posible. Debería comprobar y ajustar regularmente su configuración de privacidad para restringir lo que la gente puede y no puede ver en sus perfiles de las redes sociales.
Cuestionar cualquier solicitud de información confidencial
Si recibes una petición de un colega para que le envíes por correo electrónico información confidencial, no accedas automáticamente a ella. Una táctica común utilizada por los phishers es obtener una lista de altos ejecutivos de una empresa y luego enviar correos electrónicos haciéndose pasar por esos ejecutivos para engañar al personal para que revele información sensible. Si recibes un correo electrónico que te pide información como contraseñas, datos bancarios de la empresa o archivos confidenciales, siempre debes cuestionar la petición, independientemente de quién sea, y comprobar personalmente con el remitente que es legítima.
No haga clic en los enlaces de los correos electrónicos
Los ataques de spear phishing siempre tendrán un gancho convincente para atraer al usuario a hacer clic en el enlace, y si el correo electrónico proviene de una fuente de confianza, parecerá aún más creíble. Deténgase siempre y piense antes de tomar una decisión precipitada. Pase el ratón por encima del enlace para ver la URL de destino, y si algo no le parece bien, no haga clic.
Utilice contraseñas inteligentes
Los piratas informáticos más sofisticados adivinan las contraseñas y utilizan programas especializados para probar miles de posibles combinaciones de nombre de usuario y contraseña. Para reducir sus posibilidades de éxito, es fundamental utilizar contraseñas complejas. Una de las mejores maneras de hacerlo es crear una frase de contraseña que sea única para usted. Las frases de contraseña son más largas, complejas y fáciles de recordar que las contraseñas tradicionales. Una frase de contraseña es una combinación de palabras, letras, números, espacios y signos de puntuación. La primera letra de cada palabra será la base de su contraseña, y las letras pueden sustituirse por símbolos y números para hacerla más difícil de descifrar.
Formación periódica en ciberseguridad
Para garantizar la protección de las organizaciones frente a los ataques de phishing selectivo, es fundamental que el personal reciba formación periódica sobre ciberseguridad. Los ataques de spear phishing suelen ser mucho más difíciles de detectar que un ataque de phishing normal. Para asegurarse de que el personal está equipado para hacer frente a estas amenazas en evolución, debe recibir formación periódica sobre cómo identificar un ataque y familiarizarse con los diferentes métodos que pueden utilizarse para manipularlos y hacer que revelen información sensible.
Actualice el software con regularidad
Los investigadores de seguridad actualizan continuamente su software antivirus y de seguridad para adaptarse a los ataques más recientes y parchear las vulnerabilidades detectadas. Estas vulnerabilidades suelen ser aprovechadas por los hackers para robar datos sensibles, bloquear a los usuarios o pedir un rescate. Las actualizaciones periódicas del software le garantizarán que dispone de las versiones más actualizadas publicadas por el fabricante, reduciendo así las posibilidades de ataque.
Utilice la autenticación multifactorial
Añadir una capa adicional de autenticación hará mucho más difícil que un atacante acceda a los datos sensibles de la empresa. La autenticación multifactor se utiliza para verificar la identidad de un usuario cuando accede a una aplicación. Además de una contraseña, la autenticación multifactor requiere una segunda o tercera pieza de información para confirmar la identidad del usuario. Esto hace que sea mucho más difícil para un spear phisher comprometer una cuenta y obtener acceso a información sensible.
Para obtener más información sobre el phishing y sus diferentes formas, consulte nuestra Guía definitiva sobre el phishing. A pesar de la creciente sofisticación de los ataques de phishing, hay varias maneras de protegerse en línea. MetaPhish ha sido diseñado específicamente para proteger a las empresas de los ataques de phishing y ransomware y proporciona la primera línea de defensa en la lucha contra la ciberdelincuencia. Póngase en contacto para obtener más información sobre cómo podemos ayudar a su empresa.
