Identificar y prevenir los ataques de spear phishing
Publicado el: 27 Sep 2022
Última modificación: 24 Jul 2025
El spear phishing es una grave amenaza para las organizaciones de todo el mundo, pero este tipo de phishing altamente selectivo puede ser difícil de prevenir.
Un informe de la empresa de seguridad Ivanti destaca la tasa de éxito del spear phishing: casi tres cuartas partes (73%) de las organizaciones dijeron a Ivanti que el personal informático es objetivo del spear phishing, y casi la mitad de los intentos (47%) tienen éxito.
¿Qué es el spear phishing?
El spear phishing es una forma de phishing muy selectiva. Una campaña de phishing suele enviar un correo electrónico masivo a muchas personas, pero las campañas de spear phishing se centran en uno o unos pocos individuos; estos individuos suelen trabajar para una organización específica o estar asociados a ella.
El spear phishing suele llegar por correo electrónico, pero también puede ser phishing telefónico (Vishing) o phishing por mensaje de móvil (SMShing).
El spear phishing utiliza tácticas avanzadas de ingeniería social para elaborar una campaña eficaz de spear phishing basada en la información recopilada sobre un objetivo. La información necesaria para perfeccionar un correo electrónico de spear phishing se recopila utilizando cualquier medio, incluidas publicaciones en redes sociales, sitios web de empresas, cuentas en línea pirateadas, etc.
Se sabe incluso que los ciberdelincuentes entablan una relación con su objetivo a través del correo electrónico o el teléfono, ganándose la confianza del empleado y animándole a compartir datos personales o de la empresa. Una vez que el ciberdelincuente tiene suficiente información sobre un objetivo, crea un correo electrónico personalizado que parece legítimo.
El objetivo de un intento de spear phishing suele ser robar las credenciales de inicio de sesión. Estas credenciales pueden utilizarse después para acceder a una red corporativa. El resultado de la ingeniería social de un empleado es una infección de malware, incluido el ransomware, el robo de datos, Business Email Compromise (BEC), y otras formas de ciberataque.
Aunque el uso de la autenticación multifactor (MFA) puede ayudar a reducir el riesgo de un ataque, no es ninguna garantía: una reciente campaña de phishing dirigida a usuarios de Office 365 fue capaz de burlar cualquier MFA utilizado por los empleados.
Cómo utilizan los ciberdelincuentes los ataques de spear phishing
Los ciberdelincuentes utilizan el spear phishing para centrar un ataque en una empresa específica. Estas campañas pueden dirigirse directamente (a un empleado) o indirectamente, es decir, centrarse en un proveedor de la cadena de suministro para atacar a una organización situada más arriba en la cadena de suministro.
A menudo, los ataques de spear phishing forman parte de un ciclo de ataques en los que se roban datos, incluidas contraseñas; esto conduce a la infección por malware, a un mayor robo de credenciales y a la sustracción de datos. El proceso comienza con un correo electrónico, Vishing o SMShing. El spear phishing suele implicar una planificación estratégica de alto nivel, que puede requerir varios pasos coreografiados para lograr el objetivo del pirata informático.
Ejemplos de ataques de spear phishing
Spear Vishing: a l ataque de phishing a Twitter en 2020 saltó a los titulares cuando los piratas informáticos consiguieron enviar tuits desde varias cuentas de alto perfil, entre ellas las de Joe Biden, Barack Obama, Bill Gates y Elon Musk. El ataque a Twitter se centró en una llamada telefónica de phishing (Vishing) a los empleados objetivo hasta que uno de ellos facilitó a los atacantes las credenciales de acceso a herramientas internas. Estas credenciales se utilizaron entonces para escalar privilegios a un nivel superior.
Correo electrónico de spear phishing: un correo electrónico de spear phishing suplantó la identidad del Departamento de Trabajo de Estados Unidos (DoL ) para dirigirse a varias organizaciones. El objetivo del correo electrónico de suplantación era robar las credenciales de inicio de sesión de Office 365. El correo electrónico se basaba en dominios hábilmente disfrazados para que pareciera que procedía legítimamente del DoL.
Además, el correo electrónico simulaba proceder de un alto empleado del DoL que invitaba a la organización destinataria a presentar una oferta para un proyecto gubernamental. Al hacer clic en el «botón de licitación», el empleado accedía a un sitio de phishing en el que se robaban las credenciales de inicio de sesión de Office 365.
Cómo detectar un correo electrónico de spear phishing
Estos correos electrónicos son notoriamente difíciles de detectar simplemente porque se ha invertido mucho trabajo en su creación. Sin embargo, hay algunos puntos a comprobar que pueden ayudar a los empleados a identificar los signos reveladores.
- A menudo, los correos electrónicos de phishing submarino aprovechan posiciones de autoridad, por ejemplo, el soporte informático, para forzar una acción por parte de un empleado, por ejemplo, introducir una contraseña en una página web falsa. Compruebe la dirección de correo electrónico del remitente. Puede parecerse a la real, pero con algunas diferencias sutiles.
- ¿Coincide el formato del correo electrónico con el que está acostumbrado? Por ejemplo, si el correo electrónico es supuestamente del servicio de asistencia informática, ¿la forma en que está escrito y formateado refleja correos electrónicos anteriores del servicio de asistencia informática?
- ¿Requiere el correo electrónico la introducción de demasiados datos o información que parece innecesaria? Por ejemplo, ¿le piden que inicie sesión en una aplicación en la nube de la empresa después de hacer clic en un enlace de un correo electrónico sin ninguna razón de peso, simplemente le parece sospechoso?
Otra cosa de baja tecnología que puede hacer para ayudar a prevenir un incidente de spear phishing es volver a comprobar con el supuesto remitente del correo electrónico: llámele para comprobar que el correo electrónico procede realmente de él.
Cómo protegerse de un ataque
Las capas de protección son la mejor forma de hacer frente a la amenaza del spear phishing. He aquí las seis formas principales de protegerse a sí mismo y a su empresa de un ataque:
No comparta más de la cuenta en las redes sociales
Los ciberdelincuentes obtienen la información necesaria para crear correos electrónicos creíbles de muchas fuentes, incluidas las redes sociales. Así que ponga en marcha una política que explique los peligros de compartir datos en exceso en las redes sociales.
No haga clic en enlaces sospechosos dentro de correos electrónicos de phishing
Esto debería convertirse en el mantra de todos los lugares de trabajo. Incluso si un empleado no sigue adelante introduciendo sus credenciales después de hacer clic en un enlace malicioso, el pirata informático probablemente tendrá una auditoría de quién ha hecho clic y seguirá enviando correos electrónicos de phishing cada vez más sofisticados a esa organización.
Utilice una autenticación robusta
Aunque no es a prueba de fallos, disponer de una autenticación sólida ayuda en un enfoque por capas contra el phishing. Cree contraseñas fuertes y únicas y añada MFA cuando sea compatible.
Nunca comparta información sensible en Internet
Ni que decir tiene que compartir información personal o corporativa sensible no debe hacerse públicamente y en línea, ya que será recopilada y utilizada para suplantar a los empleados o a los proveedores asociados de la cadena de suministro.
Sea cauto y vigilante
Forme a todos los miembros del personal y asociados sobre las tácticas utilizadas por los ciberdelincuentes. Asegúrese de que esta formación se realiza con regularidad y utilice una plataforma de phishing simulado para enviar mensajes de phishing simulados a los empleados con mayor riesgo.
Anime a los empleados a informar de los incidentes
Una vez que haya formado al personal para detectar los signos reveladores del phishing, anime a los empleados a informar de los incidentes. Esto ayuda a crear ciberresiliencia, a mantener el cumplimiento de la normativa y ofrece la información necesaria para actuar con rapidez antes de que un incidente se convierta en un ciberataque en toda regla.
